Thema: Allgemein

Selten hat ein Demo-Termin so gut gepasst: gerade wurde bekannt, dass sogar SSL-Verschlüsselungen (also die Verfahren, die etwa beim Online-Banking und Online-Einkauf unsere Daten sichern sollen) von der NSA korrumpiert-gehackt-geknackt wurden.

Der unentschiedene Dreifachbegriff erklärt sich daraus, dass nicht “entschlüsselt” wird, sondern – viel einfacher, hinterhältiger und gemeiner – Hintertüren in die entsprechende Software eingebaut werden. Dafür betreibt die NSA ein Programm namens “Bullrun”, über das die ZEIT schreibt:

Ziel des Programmes Bullrun sei es, “in kommerzielle Verschlüsselungssysteme Hintertüren einzubauen”. Doch gehen die Dienste noch weiter. Offenbar ist es ihnen gelungen, auf das Design von Verschlüsselungstechniken Zugriff zu bekommen. Sie hätten inzwischen Einfluss auf die internationalen Standards, nach denen solche Sicherheitsprogramme entwickelt werden, was die “versteckte Beeinflussung” von Programmentwicklungen erlaube.

Der Angriff zielte damit nicht in erster Linie auf die mathematischen Verfahren, mit denen Daten verschlüsselt werden. Die Dienste nutzten ihre Macht, um von den Anbietern deren Schlüssel zu erpressen. Die Geheimdienste haben damit die grundlegende Sicherung zerstört, die Menschen im Netz vor Überwachung, vor allem aber vor Kriminellen schützt – das Vertrauen in die Zertifizierungsstellen verschlüsselter Kommunikation.

Was wir bisher schon wissen:

NSA und GCHQ (britischer Geheimdienst) lesen per PRISM unsere Kommunikation in den großen Netzwerken mit und zapfen per TEMPORA an den Internetknoten und transatlantischen Kabeln nahezu den gesamten Datenverkehr ab.

Mit XKEYSCORE steht für all die Datenmassen der NSA eine bequeme Abfrage-Oberfläche zur Verfügung, mit der man die gesamte Kommunikation einer Einzelperson nach Belieben anzeigen lassen kann. Auch der BND hat es “im Testbetrieb” – und im übrigen bekommt der BND natürlich vom Datenschatz des großen Bruder bei Bedarf etwas ab, ungeachtet der Tatsache, dass die flächendeckende Ausspionierung nach deutschem Recht illegal ist.

Aber damit nicht genug: mit dem GENIE-Programm schleust die NSA Viren und Trojaner auf zigtausende Computer und spricht verharmlosend von Implantaten (“implants”) auf fremden Rechnern. Die NSA-Software kontrolliert dann die befallenen Systeme unbemerkt und nimmt Kommandos entgegen.

Und noch immer nicht genug: da ja nie alle Computer infiziert werden können, gibt es z.B. in Windows Hintertüren, so dass sogar IT-Experten der Bundesregierung vor dem Einsatz von Windows 8 warnen.

Nun also BULLRUN. Ende der letzten vermeintlichen Sicherheit für wichtige Daten!

Ich denke: ES REICHT.

Es sollte zumindest DAFÜR REICHEN, morgen massenweise gegen die totale Überwachung zu demonstrieren! Um unseren Regierenden und aller Welt zu zeigen, dass es nicht reicht, schulterzuckend NICHTS zu tun und sich mit ein paar hohlen Sprüchen von Seiten der “Dienste” abspeisen zu lassen. Sie partizipieren von der Überwachung, haben im Grunde nichts dagegen und verschleiern das im Wahlkampf nur mühsam.

Zimmermann, der Erfinder der PGP-Verschlüsselung empfiehlt in einem ZEIT-Inverwiew, auch das Wahlverhalten zu überdenken:

Die Bevölkerung muss erkennen, dass diese Themen wichtig sind. So wichtig, dass sie auch ihr Wahlverhalten danach ausrichten. Die Menschen können wählen und Politiker ins Amt bringen, die dafür sorgen, Überwachung einzudämmen. Sie können auch vor Gericht ziehen und gegen staatliche Überwachung klagen. Wir brauchen Demonstrationen, eine nationale Debatte. Wir müssen alle zur Verfügung stehenden demokratischen Mittel nutzen, um die Lage zu verändern. Die großen Aufgaben liegen in der Politik, nicht bei der Technik.

Alsdenn:

FREIHEIT STATT ANGST – 7.9.2013 – 13 Uhr Alexanderplatz

Hier gehts zum Demoaufruf.
Und so verläuft die DEMO-Route.

***

Erstveröffentlichung auf meinem eher schlecht gepflegten Berlin-Blog, zu Zwecken der Dokumentation nun auch hier (scheiß auf “Duplicate Content”!).

Geht es nach Microsoft soll den Usern die Kontrolle über den eigenen PC weitgehend genommen werden. Patrick Beut schreibt auf ZEIT ONLINE über eine Warnung des Bundesamtes für Sicherheit und Informationstechnik (BSI):

„Wie vertrauenswürdig ist Microsoft? Für die Bundesverwaltung und alle deutschen Behörden, Unternehmen und Privatanwender, die auch in Zukunft mit dem Betriebssystem Windows arbeiten wollen, stellt sich diese Frage heute mehr denn je. Denn früher oder später müssten sie Windows 8 oder dessen Nachfolger verwenden. Aus Dokumenten, die ZEIT ONLINE vorliegen, geht aber hervor, dass die IT-Experten des Bundes Windows 8 für geradezu gefährlich halten. Das Betriebssystem enthält ihrer Ansicht nach eine Hintertür, die nicht verschlossen werden kann. Diese Hintertür heißt Trusted Computing und könnte zur Folge haben, dass Microsoft jeden Computer aus der Ferne steuern und kontrollieren kann. Und damit auch die NSA.“

Das kritisierte Modul heißt TPM 2.0 und soll auf PCs genauso üblich werden wie auf Smartphones und Tablets: Betriebssystem und Hardware sind aufeinander abgestimmt und der Hersteller kann (auch von Ferne per Aktualisierung) bestimmen, welche Software installiert werden kann und welche nicht. Das soll gewährleisten, dass „Schadsoftware“ nicht genutzt werden kann, dient aber auch der Durchsetzung eines Digital Rights Managements (DRM). Und was „Schadsoftware“ ist, bestimmt ausschließlich Microsoft.

Kein Opt-Out mehr

TPM ist an sich nichts völlig Neues, doch bisher kann es der User ein- und ausschalten, also selbst bestimmten, ob der „Schutz“ aktiviert werden soll. Die künftige Version TPM 2.0 soll jedoch beim Start des PCs bereits mitgestartet werden, eine Möglichkeit, es auszuschalten soll es nicht mehr geben. Die Bundesregierung war damit nicht einverstanden, wie Beut weiter schreibt:

Die Dokumente belegen, dass die Bundesregierung und die Bundesverwaltung durchaus versucht haben, den künftigen Standard in ihrem Sinne zu beeinflussen. Das ist in diesem jahrelangen Prozess auch üblich. Die Deutschen sind allerdings schlicht abgeblitzt. Andere haben bekommen, was sie wollten. Die NSA zum Beispiel.

TPM 2.0 und Windows 8 sind laut Rüdiger Weis (Professor an der Beuth Hochschule für Technik in Berlin) also mit hoher Wahrscheinlichkeit weit offene Hintertüren für Ausspähungen durch die NSA und andere „Dienste“. Der CCC warne im übrigen schon seit 2002 vor TPM, meint Fefe, doch der Beleg-Link dazu ergibt leider keine lesbaren Infos.

Linux, ich komme…

Angesichts all der Zumutungen, die in letzter Zeit in Sachen Überwachung ans Licht kamen, ist dieser Angriff auf die Selbstbestimmung der PC-User nun echt der Tropfen, der bei mir das Fass zum Überlaufen bringt. Mein nächstes Betriebssystem wird nicht mehr Windows heißen – ich werde wohl Linux lernen, zunächst als Zweitsystem neben Windows 7.

Aber: Wird es später überhaupt noch möglich sein, Linux zu installieren? In den Kommentaren unter dem ZEIT-Artikel schreibt ein User namens „Lenticularis“:

Und liebe Leute, es wird noch viel schlimmer mit dem „Secure Boot Loader“, wo der Boot Loader von, na wem wohl: Microsoft, signiert sein muß. Damit man auch mit Linux nicht mehr tun und lassen kann, was man will

Aha! Bleibt also nur die Lösung, sich von vorne herein einen Microsoft-freien PC zu kaufen – und wenns den nicht mehr gibt, selbst einen aus Teilen zusammen zu bauen. Falls es die Teile dann noch gibt…

Update 21.8.: Es gibt dazu jetzt eine Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM – Zitat:

„Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8. Das BSI sieht derzeit jedoch einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt.

Für bestimmte Nutzergruppen kann der Einsatz von Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten. Hierzu gehören Anwender, die sich aus verschiedenen Gründen nicht um die Sicherheit ihrer Systeme kümmern können oder wollen, sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt. Dies ist ein berechtigtes Nutzungsszenario, der Hersteller sollte jedoch ausreichende Transparenz über die möglichen Einschränkungen der bereitgestellten Architektur und mögliche Folgen des Einsatzes schaffen.

Aus Sicht des BSI geht der Einsatz von Windows 8 in Kombination mit einem TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher. Daraus ergeben sich für die Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen, neue Risiken.“

Die Lage ist verfahren, aber jetzt muss jemand den Karren aus dem Dreck ziehen!

Nun gilt es also, das absurde Leistungsschutzrecht und verunsichert bzw. verunmöglicht die Situation für kleine Aggregatoren wie Rivva, wo es bereits keine Snippets mehr gibt. Dass die Verlage sich per OptIn bei GoogleNews der Macht des Faktischen unterworfen haben, hilft ansonsten niemandem. Und es ist ja auch nur vorläufig: Sie wollen eine „Verwertungsgesellschaft“ gründen und dann tatsächlich abkassieren. Bei wem, bleibt zwar fraglich, wenn die kleinen News-Seiten Snippets nicht mehr zeigen, gar aufhören und innovative Projekte gar nicht erst starten – aber der SCHADEN ist jedenfalls angerichtet!

Eine technische Lösung muss her!

Wie schon in den Kommentaren auf dem Rivva-Blog mehrfach vorgeschlagen, braucht es eine technische Lösung, die vermeidet, dass kleine Aggregatoren und News-Seiten bei den Publishern arbeitsaufwändig um Erlaubnis fragen müssen, wenn sie Snippets zeigen wollen. Ein Opt-In-Verfahren per Forumular wie bei Google ist nur für die ganz Großen machbar, denn wer kennt schon als Publisher alle News-Sammler und hat Zeit, das Web nach Formularen abzusuchen? Auch punktuelle Erklärungen, dass man Snippets erlaubt, helfen nicht, denn es ist ja für die Aggregatoren faktisch unmöglich, all diese Erklärungen zu finden und in ihren Algorithmen zu berücksichtigen.

Ein META-TAG im Header jeder Webseite, das Snippets erlaubt oder vierbietet, wäre eine mögliche Lösung. Ein neuer Eintrag in der robots.txt vielleicht eine andere – was da optimal wäre, sollten die Programmierer am besten wissen. Wichtig ist, dass das Signal von einem Programm/Robot ausgelesen werden kann. Zusätzlich könnte man sich ja noch für die Außenwirkung auf einen Button einigen, der dann zu einer Erklärung führt – als KANN-, nicht als MUSS. Denn vermutlich möchte sich nicht jede kleine Zeitung und jede Webseite mit redaktionellen Inhalten zum LSR öffentlich äußern.

Wer nimmt das in die Hand?

Mit Lamentieren und Kritisieren ist es nun nicht mehr getan! Anstatt den x-ten Artikel über das kranke Gesetz und seine Folgen zu verfassen, sind jetzt die Verbände, Vereine und Initiativen gefragt, eine konkrete Lösung zu finden. IGEL, Digitale Gesellschaft, CCC, Bitcom fallen mir da ein, die eine Zusammenkunft organisieren könnten, auf der die „technische Lösung“ diskutiert und beschlossen wird. Um sie dann mit geballter Kommunikationsreichweite zu verbreiten, auf dass sich ihr alle anschließen können, die das wollen. Für WordPress und andere CMS würde es schnell Plugins geben – ich frage mich wirklich, warum da noch nichts in die Gänge gekommen ist.

Es kann doch nicht sein, dass wir alle im bloßen Schimpfen stecken bleiben!!! Gerade in Zeiten der Überwachungsskandale, der Aushöhlung von Grundrechten und Demokratie sollte es doch WICHTIG GENUG sein, die Informationsfreiheit auch abseits staatlicher Regelungen zu verteidigen. Es BRAUCHT viele kleine Aggregatoren, die auch für Non-Mainstream-Medien zugänglich sind – und neue Projekte, die die Datenmassen auf innovative Weise sortieren, brauchen Rechtssicherheit.

Als Einzelperson kann ich zwar Vorschläge machen – aber für die Umsetzung braucht es die Initiative und Zusammenarbeit bekannter „Big Player“ der Szene!

Wer auch so denkt, möge diesen Artikel teilen, tweeten, sharen – bzw. an diejenigen weiter geben, die das Potenzial zu einem „Call to Action“ haben.

Nun gilt es also, das von Springer herbei lobbyierte Gesetz. Was das für alle Beteiligten ganz konkret bedeutet, führt Till Kreuzer in seinem grandiosen Artikel Leistungsschutzrecht: Willkommen in der Sackgasse” auf ZEIT ONLINE verständlich und ausführlich aus. Sehr lesenswert!

Der Text ist ein echtes Highlight in Sachen Qualitätsjournalismus, denn es gelingt einerseits, alle, die sich noch nie genauer mit dem Gesetz und seinen Folgen befassen wollten, umfassend zu informieren – ohne zu langweilen, ohne “Fachchinesisch. Andrerseits erfährt man auch als engagierte Debatten-Teilnehmerin von neuen möglichen Fallstricken wie etwa: Was ist mit einer eingebundenen Google-Suche auf der eigenen Webseite?

Unterbelichtet bleibt allerdings die Auswirkung des Gesetzes auf “ganz normale Netznutzer”. Da heißt es lapidar:

“Wer keine Suchmaschine und keinen Aggregator anbietet, ist durch das Leistungsschutzrecht nicht betroffen. Es kann weiterhin gebloggt, verlinkt und zitiert werden – natürlich nur in dem vom Urheberrecht gesetzten Rahmen. “

Wie kann man so blind sein? Immerhin findet ein Großteil der sich per Internet informierenden Bürger/innen über Aggregatoren zu den jeweiligen Artikeln. Wenn hier nurmehr die ganz Großen übrig bleiben, weil die vielen kleinen, oft themenzentrierten Aggregatoren dicht machen müssen, dann empfinde ich das als Einschränkung meiner grundgesetzlich garantierten Informationsfreiheit! Angesichts der Massen täglich erscheinender Artikel ist Aggregation unverzichtbar. Kaum jemand hat mehr die Zeit, die jeweiligen Heimseiten der Medien abzuklappern und zu schauen, was es da Interessantes gibt.

Insgesamt wird im Artikel sehr deutlich, wie krass die Politik hier versagt – auch angesichts angeblich eigener Werte wie das Fördern des Wirtschaftsstandorts Deutschland! Der ist jetzt für alle vermintes Gebiet, die sich in innovativer Weise mit der Sortierung der täglichen Datenmassen befassen wollen. Und dann klagt man wieder, dass aus DE kein neues Google, Amazon, Ebay, Facebook kommt…

Auch zum Thema:

• Der Kampf ums Leistungsschutzrecht hat erst begonnen Niggemeier / ZEIT ONLINE;
• Der Tag, an dem die Verlage gerettet wurden – Lummaland
• Das Leistungsschutzrecht startet ohne Presseverleger – Hyperland
• Leistungsschutzrecht: Was sich ab heute für die Internetsuche und das Monitoring ändert – Nina Galla/tn3

Ergänzungen sind willkommen!

***

= Crossposting nach Erscheinen im Digital Diary;

Dass die Anreissertexte (Snippets) auf dem bekannten Blog- und News-Aggregator Rivva in viel zu heller Schrift erscheinen, um noch gut gelesen zu werden, hatte mich geärgert. Also auf Twitter nachgefragt, warum das so sein müsse – schließlich achten ansonsten die meisten Publisher auf gute Kontraste, um die Leser_innen nicht zu vergraulen.

Die Antwort von @rivva:

Am 1.8. tritt das LSR in Kraft. Snippets erblassen nun jeden Tag bisschen mehr, bis sie schließlich gar nicht mehr lesbar sind.

Wow, das ist ja eine richtig kreative Form, dieses beschissene und schädliche Gesetz ins Bewusstsein zu heben! Von alleine wäre ich allerdings nicht darauf gekommen.

Zur Erinnerung: am 1.August tritt auf Wunsch der Verleger (hauptsächlich Springer) das Leistungsschutzrecht in Kraft, das auch „kleinste Textteile“ schützt, die nun von Suchmaschinen und anderen Aggregatoren nicht mehr ohne weiteres angezeigt werden dürfen. Das Gesetz wird auch „Lex Google“ genannt, doch trifft es eben auch viele kleine Aggregatoren und News-Seiten. Ziel der Verleger war und ist, Gebühren zu kassieren, doch Google hat sich darauf gar nicht erst eingelassen, sondern schon vor einem guten Monat bekannt gemacht, dass jeder aus den News ausgelistet wird, der nicht explizit die Genehmigung zur kostenlosen Anzeige erteilt (OptIn).

Natürlich werden wir am 1.8. die allermeisten Medien in den Google-News sehen, einschließlich jener, denen wir die Absurdität dieses Gesetzes zu verdanken haben. Aber Rivva und andere Aggregatoren haben ein Problem – und so werden wir wohl auf Rivva künftig nur noch die Titel sehen.