Springe zum Hauptinhalt

Vorratsdatenspeicherung: Jetzt Verfassungsbeschwerde unterschreiben!

Ver­fas­sungs­be­schwer­de braucht po­li­ti­sches Ge­wicht

/images/2015/Digitalcourage-Vorratsdatenspeicherung.jpg

Mor­gen be­schließt die gro­ße Ko­a­li­ti­on im Bun­des­tag er­neut die an­lass­lo­se Über­wa­chung der Be­völ­ke­rung, auch be­kannt als Vor­rats­da­ten­spei­che­rung. Und das, ob­wohl so­wohl das Bun­des­ver­fas­sungs­ge­richt sie als ver­fas­sungs­wid­rig und der Eu­ro­pä­i­schen Ge­richts­hof als Ver­stoß ge­gen die Eu­ro­pä­i­schen Grund­recht­echar­ta er­klärt ha­ben.

Un­ter­zeich­nen Sie die die Ver­fas­sungs­be­schwer­de: htt­ps://­di­gi­tal­cou­ra­ge.­de/­weg­-­mit­-vds.

Als Tro­ja­ni­sches Pferd ist dort üb­ri­gens auch der Straf­tat­be­stand der "Da­ten­heh­le­rei" ein­ge­baut, der Wist­leblo­wi­ng un­ter Stra­fe stellt – und da­mit ver­hin­der­t, dass Bür­ger er­fah­ren, wenn der Staat sei­nen ei­ge­nen Ge­set­ze bricht.

Wei­ter In­fos beim Ar­beits­kreis ge­gen Vor­rats­da­ten­spei­che­rung. Dort bin auch ich ak­ti­v.

Bestanden! ISO 27001 Lead Implementer

Heu­te kam das Re­sul­tat: Ich hab die Prü­fung be­stan­den.

Bestätigung der bestandenen Prüfung zum „ISO 27001 Lead Implementer (PECB)“

Buh, da bin ich froh! Ich hat­te ja et­was Be­den­ken, ob ich nicht – ob mei­ner an­der­wei­ti­gen Er­fah­rung – Fra­gen "fal­sch" oder eben zu "ist doch al­les kla­r"­-­ein­fach be­ant­wor­tet. Aber das war an­schei­nend nicht der Fall.

Jetzt muss ich mich noch "En­dor­sen" las­sen, al­so Nach­wei­sen, dass ich ge­nü­gend Er­fah­rung in der Pra­xis ha­be. Dann darf ich mich "I­SO 27001 Lead Im­ple­men­ter (PECB)".

Bewertung PGP-Verschlüsselung bei Web.de und GMX

Für Di­gi­tal­cou­ra­ge ha­be ich ei­ne kur­ze Be­wer­tung neu­en PG­P-­Ver­schlüs­se­lung bei we­b.­de und GMX er­stell­t.

Laut ei­nem Ar­ti­kel in der Zeit­schrift c't:

"Die [...] Va­ri­a­n­te des Plug­-­ins Mail­ve­lo­pe er­stellt und ver­wal­tet al­le PG­P-­Sch­lüs­sel lo­kal im Brow­ser."

Die Ver­schlüs­se­lung er­folgt eben­falls im Brow­ser.

Aus ei­ner Mel­dung bei hei­se on­line:

[... Si­che­rung...] dann wählt man das Schlüs­sel­pass­wort und si­chert schließ­lich die au­to­ma­tisch er­zeug­ten Schlüs­sel samt Pass­wor­t. Die­se Da­ten wer­den in einen Con­tai­ner ge­pack­t, der lo­kal ver­schlüs­selt und dann bei 1&1 ge­spei­chert wird. Das hier­für zu­fäl­lig er­zeug­te 26­-­stel­li­ge Pass­wort bleibt beim Nut­zer.

Bei der Si­che­rung Der pri­va­te Schlüs­sel und des­sen Pass­wort lan­det al­so bei GMX und we­b.­de, ge­schützt mit ei­nem 26­-­Zei­chen lan­gen Pass­wor­t. Dem Bei­spiel nach be­steht das Pass­wort aber nur aus Klein­buch­sta­ben und Zif­fern, ent­spricht al­so *sehr grob* ge­schätzt ei­nem Pass­wort von 23 Zei­chen mit Klein, Groß, Zif­fern.

Laut http://img.ui-portal.de/cms/webde/produkte/sicherheit/pgp/lp/Anleitung-Verschluesselte-Kommunikation-WEB.DE.pdf ist die Sicherung optional, die Leute werden aber dazu angehalten bze. animiert, die Schlüssel zu sichern.
Mit dieser Sicherung kann man die Schlüssel auch auf andere Rechner übertragen. das geht jedoch auch, indem man die Schlüssel in der Browser-Erweiterung exportiert - ist nicht so bequem, verhindert aber, dass der Schlüssel beim Provider landet. Schade, dass GMX und web.de hier keine Möglichkeit anbieten, den als z.B. QR-Code Schlüssel auszudrucken, sondern die Leute dazu animieren, den Schlüssel zu ihnen hoch zu laden.

Un­klar ist mir noch, ob die ge­sam­te Nach­richt ver­schlüs­selt wird, oder nur der In­halt und die An­hän­ge eben nicht. Sie­he hier zu auch die­se Hin­wei­se von Pos­teo.

Bewertung

Ins­ge­samt schient die Lö­sung ganz pas­sa­bel. Es gibt je­doch ei­ni­ge kri­ti­sche Punk­te:

  1. Um die­­se Funk­ti­on zu be­­nut­­zen, be­nö­tigt man ein Brow­­ser­­-­­Plug­­-­­in, man kann al­­so nicht mehr den Rech­­ner ei­­nes Be­­kann­ten nut­­zen (das soll­te man so­wie­­so eher nicht, aber das ist ei­­ne an­­de­­re Fra­­ge). Wes­halb liest man sei­­ne Mails dann über­­haupt im Brow­­ser und be­­nutzt nicht gleich ein rich­ti­­gen Mail­­-­­Pro­­gram­m?!

  2. Es ist un­­­kla­r, wie gut die Soft­wa­re­­-­­­Kom­­po­­nen­te opneP­G­P.js ist, mit der die ei­­gent­­li­che Ver­­sch­lüs­­se­­lung er­­fol­g­t.

  3. Die Schlüs­­sel wer­­den in­­­ner­halb des Brow­­sers ver­­wa­l­tet. Sie ste­hen an­­de­ren An­wen­­dun­­gen al­­so nicht zur Ver­­­fü­­gung.

Da­mit bleibt als ein­zi­ge Be­grün­dung: Weil es be­quem ist. Nun, das ist p≡p (Pret­ty Ea­sy Pri­vay) auch. Das ver­wen­det aber Soft­wa­re­-­Kom­po­nen­ten, die seit lan­gen Jah­ren aus­ge­reicht sin­d, bei­spiels­wei­se GnuPG.

[Up­da­te 2015­-­09­-­14: Be­wer­tung auf­ge­nom­men]

Fortbildung zum ISO 27001 Lead Implementer

/images/2015/certified-button.png

Ich ha­be ei­ni­ge har­te Ta­ge hier mir, und ich hof­fe, sie ha­ben sich ge­lohnt.

Von Sonn­tag bis Mitt­woch war ich auf ei­ner Schu­lung zum "I­SO 27001 Lead Im­ple­men­ter (PECB)". Dort wur­de uns bei­ge­bracht, wie man ISO 27001 im­ple­men­tiert – al­so auf Fir­men­sei­te das vor­be­rei­tet, was die "Lead Au­di­to­ren" dann prü­fen.

Der Kurs war die Kom­pakt­ver­si­on ei­nes 5-­Ta­ge­-­Kur­ses – wir hat­ten 3 Ta­ge da­für. Das Meis­te des Stof­fes war mir schon be­kannt. Wes­halb ich auf­pas­sen muss­te wie ein Fuchs, ob für den "Lead Im­ple­men­ter" et­was be­nö­tigt wer­de, das sich mei­nen Er­fah­run­gen wi­der­spricht. Bei der CISS­P-­Prü­fung ist das ja so – bzw. war es, als ich die vor Jah­ren ab­ge­legt ha­be -, dass man "deut­sches Den­ken" über Bord wer­fen und "a­me­ri­ka­nisch den­ken" muss­te. Bei die­sem Kurs war mir sol­ches dann doch nichts auf­ge­fal­len.

Der Kurs hat mich in dem Be­stärk­t, was ich bis­lang auch schon ge­macht und ge­dacht ha­be. Sehr schön :-)

Im An­schluss an den Kurz gab es gleich die Prü­fung. Jetzt heißt es 4–8 Wo­chen auf das Er­geb­nis war­ten. Dann, so hof­fe ich, darf ich mich "I­SO 27001 Lead Im­ple­men­ter (PECB)" nen­nen. Die da­zu nö­ti­gen 5 Jah­re Be­rufs­er­fah­rung und 300 Stun­den Er­fah­rung in In­for­ma­ti­o­n­-­Se­cu­ri­ty­-­Pro­jek­ten ha­be ich ja schon :-)

Feiertagsarbeit bei Teletrust

Das Lo­go "Se­cu­rI­Ty ma­de in Ger­ma­ny" taugt so­wie­so nicht viel, aber es geht noch schlech­ter: Zer­ti­fi­ka­te wer­den schon mal an Fei­er­ta­gen aus­ge­stellt

/images/2015/TeleTrusT-ITSMIG-Urkunde1.png

Der Te­le­Trust Ver­ein ver­leiht seit ei­ni­gen Jah­ren das Zer­ti­fi­kat "Se­cu­rI­Ty ma­de in Ger­ma­ny". Das Zer­ti­fi­kat taugt in mei­nen Au­gen nicht viel, denn es be­stä­tigt nur, das ei­ne Fir­ma ein paar Din­ge "ver­bind­lich er­klär­t".

Jetzt mach sich Te­le­trust völ­lig un­glaub­wür­dig: Zer­ti­fi­ka­te wer­den schon mal am "01.01. 2015" aus­ge­stellt (sie­he Screen­shot). Zu Er­in­ne­rung: der 1. Ja­nu­ar ist in Deut­sch­land ge­setz­li­cher Fei­er­tag. Da ar­bei­tet nie­man­d, wenn er nicht un­be­dingt muss und dar­f.

Ach üb­ri­gens: Die URL des Zer­ti­fi­kats hat ent­hält üb­ri­gens den Ver­zeich­nis­pfad "wp­-­con­ten­t/u­ploads/2014/12/". Das deu­tet dar­auf hin, dass das Zer­ti­fi­kat be­reits im De­zem­ber hoch­ge­la­den wur­de. Ich fra­ge mich nur, wie dann er "01.01.2015" stim­men kann! Könn­te das wo­mög­lich Ur­kun­den­fäl­schung sein?

"Ehrlichkeit made in Germany"

War­um "Se­cu­ri­ty ma­de in Ger­ma­ny" nicht viel taug­t.

Das steht in einer Urkunde für das "Qualitätssiegel"

Seit ei­ni­gen Jah­ren gibt es das "Qua­li­täts­sie­gel" "Se­cu­rI­Ty ma­de in Ger­ma­ny", ver­lie­hen durch den Te­le­trust e.V.

In mei­nen Au­gen ist das ein rei­nes Pla­ce­bo, mit de­nen man ver­sucht, Un­be­da­rf­ten "Si­cher­heit vor­zu­gau­keln. Denn es be­stä­tigt nur, das ei­ne Fir­ma ein paar Din­ge "ver­bind­lich er­klär­t". Wört­lich steht in dem Zer­ti­fi­kat:

Die [Fir­ma] hat ge­gen­über Te­le­TrusT ver­bind­lich er­klär­t: ... Auf die­ser Grund­la­ge ge­stat­tet Te­le­TrusT die Ver­wen­dung des Te­le­Tru­sT­-­Qua­li­täts­zei­chens [Lo­go]

Al­so un­ge­fähr so: Ich er­klä­re Dir ge­gen­über, dass ich ehr­lich bin, und Du gibt mir ein Zer­ti­fi­kat, dass ich das er­klärt ha­be. Da­für be­kommst Du ein paar hun­dert Eu­ro und ich ein schi­ckes Lo­go "Ehr­lichk­ein ma­de in Ger­ma­ny" für mei­nen Web­si­te.

Kann man glau­ben, soll­te man aber nicht :-)

Datenberge verhindern Strafermittlung

Laut Pres­se­be­rich­ten sind die Straf­ver­fol­gungs­be­hör­den hoff­nungs­los über­las­tet und kön­nen die Da­ten­men­gen, die als Be­weis­ma­te­ri­al an­fal­len, nicht be­wäl­ti­gen.

Laut Pres­se­be­rich­ten sind die Straf­ver­fol­gungs­be­hör­den hoff­nungs­los über­las­tet und kön­nen die Da­ten­men­gen, die als Be­weis­ma­te­ri­al an­fal­len, nicht be­wäl­ti­gen.

UR­L: htt­p://blo­g.vor­rats­da­ten­spei­che­rung.­de/2015/01/05/­da­ten­ber­ge­-­ver­hin­dern­-­straf­er­mitt­lung/

Kleiner Erfahrungsbericht mit Online-OCR-Diensten

Ein paar ha­be ich aus­pro­biert und mei­nen Fa­vo­ri­ten ge­fun­den

/images/2014/ocr.png

heu­te woll­te ich ein PD­F, den ich gescannt hat­te, als Text ha­ben. Mei­ne ei­ge­nen Ver­su­che mit OCR (vor ei­ni­gen Jah­ren) hat­ten un­brauch­ba­re Er­geb­nis­se ge­lie­fer­t. Da der Tex­t, den ich ha­ben woll­te, aus ei­ner Zeit­schrift stammt und da­mit in keins­ter Wei­se ver­trau­lich ist, be­schloss ich, einen On­line Ser­vice zu ver­wen­den.

Hier mei­ne Er­fah­run­gen, un­ter den ers­ten Ein­trä­gen, die die In­ter­net­su­che aus­ge­schmis­sen hat:

  1. Ein "Free on­­li­ne OCR": ver­­a­r­­bei­tet nur die er­s­te Sei­te des PD­F. Das Er­­ge­b­­nis wä­­re aber in­s­­ge­­samt okay.

  2. Noch ein "Free on­­li­ne OCR": ver­­a­r­­bei­tet meh­re­­re Sei­ten, im Er­­ge­b­­nis (R­T­F­-­­­For­­mat) lie­­gen aber al­le Tex­t­­-­­Rah­­men auf ei­­ner Sei­te. Un­­­brauch­­ba­r. Zu­­mal ich meh­re­­re An­läu­­fe ge­­braucht ha­­be, um ein Er­­ge­b­­nis zu be­­kom­­men. Die bes­te Be­­grün­­dung da­­bei wa­r: "Low Image Qua­­li­­ty" – bei 660 dpi ei­­ne ge­wag­te Aus­­sa­­ge.

  3. …ich über­­sprin­­ge ein paa­r, die ich an­­ge­­se­hen, aber nicht mehr ge­tes­tet hat. Bei­­spiels­wei­­se, weil sie auch nur die er­s­te Sei­te des PDF ver­­a­r­­bei­ten.

Wei­ter un­ten in der List bin ich auf den Ser­vice von Ab­by Fi­ne­rea­der ge­sto­ßen. Den hat­te ich im ers­ten Durch­gang über­sprun­gen, weil er ei­ne Re­gis­trie­rung ver­lang­t. Es Er­geb­nis hat mich echt be­ein­druck­t: Der Text scheint kei­ne Recht­schreib­feh­ler zu ent­hal­ten, die Bin­de­stri­che am Zei­len­en­de wer­den so­gar in "wei­che" Trenn­zei­chen um­ge­wan­del­t, das Lay­out ist pas­sa­bel er­hal­ten. Aus­ser­dem kann man vie­le Aus­ga­be­-­For­ma­te wäh­len, un­ter an­de­rem Open­Do­cu­ment-Tex­t. Was will man mehr?

Ein­zi­ger "Ha­ken" – so­weit man das bei ei­nem kos­ten­lo­sen Dienst sa­gen kann –: Man kann nur 10 Sei­ten in 14 Ta­gen kon­ver­tie­ren.

Noch ein Tipp zur Re­gis­trie­rung: Bei mei­nem Ver­such konn­te ich ir­gend­ei­ne E-­Mail­-­Adres­se an­ge­ben. Denn es wird noch nicht ein­mal ei­ne Be­stä­ti­gungs­-­Mail ver­schick­t. Ich ge­lan­ge nach der Re­gis­tie­rung di­rekt zum "Jetzt er­ken­nen"­-­Schrit­t.

Ach, und um es noch­mal aus­drü­ck­lich zu sa­gen: Ver­trau­li­che oder per­sön­li­che Text wür­de ich ei­nem On­li­ne­-­Dienst nicht an­ver­trau­en.

Filmgespräch zu „Citizenfour“ in Herrsching

18. No­v. 2014: Das Agen­da­-­21­-­Ki­no Herr­sching zeigt den neu­en Film über Ed­ward Snow­den und die glo­ba­le Über­wa­chung. An­schlie­ßend Film­ge­spräch mit Hart­mut Go­ebel von Di­gi­tal­cou­ra­ge e.V.

/images/2014/citizenfour.jpg

In der er­folg­rei­chen Rei­he "AGEN­DA­-­21­-­Ki­no Herr­sching" zeigt die lo­ka­le Agen­da­-­21­-­Grup­pe seit 2004 je­den drit­ten Diens­tag im Mo­nat einen Film mit so­zi­a­lem, öko­lo­gi­schem oder wirt­schaft­li­chem The­ma und lädt Ge­sprächs­part­ner ein, um im an­schlie­ßen­den Film­ge­spräch das Pu­bli­kum wei­ter zu in­for­mie­ren und zur Dis­kus­si­on an­zu­re­gen.

Am Diens­tag, den 18.11.2014 um 19.30 Uhr zei­gen wir den brand­ak­tu­el­len Film Ci­ti­zen­four.

Als Ge­sprächs­part­ner da­bei ist dies­mal Hart­mut Go­ebel von Di­gi­tal­cou­ra­ge e.V..

Der Film be­leuch­tet den Skan­dal um den Whist­leblow­er Ed­ward Snow­den, des­sen Ent­hül­lun­gen über den NSA die Welt ver­än­dert ha­ben. Die Fil­me­ma­che­rin Lau­ra Poitras war die ers­te Per­son, mit der Snow­den un­ter dem Pseud­onym „Ci­ti­zen­four“ Kon­takt auf­nahm. Sie setz­te von Be­ginn an ih­re Ka­me­ra ein und mach­te Auf­nah­men von den ers­ten Emails über die kon­spi­ra­ti­ven Tref­fen mit dem Jour­na­lis­ten Glenn Green­wald in Hong­kong bis hin zu Snow­dens Odys­see ins rus­si­sche Exil. Der Film wur­de bei der Pre­mie­re am 10. Ok­to­ber in New York um­ju­bel­t.

Diens­tag,  18. No­vem­ber 2014, 19.30 Uhr

Das Film­ge­spräch dau­ert in der Re­gel et­wa ei­ne Stun­de (En­de spä­tes­tens 22.30 Uhr).

Ver­an­stal­tungs­or­t: Ki­no Breit­wan­d, Lu­it­polds­tr. 5, 82211Herr­sching – 5 Min. vom S-­Bahn­hof Herr­sching. Kar­ten­re­ser­vie­rung emp­feh­lens­wert un­ter 08152 / 39 96 10.

Digitale Bürgerrechte in der Ära Snowden

23. Ok­t. 2014: Po­di­ums­ge­spräch mit Hart­mut Go­ebel im Ei­neWelt­Haus, Mün­chen

Bodo Tasche (CC BY-NC-SA 2.0)

Seit mehr als ein­ein­halb Jah­ren wird ein Da­ten­schutz­skan­dal nach dem an­de­ren auf­ge­deckt – welt­weit, aber auch in Deut­sch­lan­d. Im­mer mehr staat­li­che Stel­len sind in die­se Ent­hül­lun­gen ver­strickt und es stellt sich die Fra­ge, ob es über­haupt noch je­man­den gib­t, der sich um den Schutz der Da­ten und die da­mit ver­bun­de­nen di­gi­ta­len Bür­ger­rech­te küm­mer­t. Es nun an der Zeit, die­ses The­ma selbst in die Hand zu neh­men!

Chris­ti­ne Wit­tig vom Links­ys­tem Mün­chen ist zu die­sem The­ma im Ge­spräch mit Hart­mut Go­ebel von Di­gi­tal­cou­ra­ge e.V. und klärt u.a. fol­gen­de Fra­gen:

Wie steht es um die di­gi­ta­len Bür­ger­rech­te im Jahr 2 nach Ed­ward Snow­dens Ent­hül­lun­gen? Kön­nen sich po­li­tisch ak­ti­ve Men­schen ge­gen Ab­hör­an­grif­fe schüt­zen? Gibt es ei­ne Art di­gi­ta­le Selbst­ver­tei­di­gung, die auch „Ot­to Nor­ma­l­ver­brau­cher“ um­setz­ten kann?

Sie be­rich­ten auch über den ak­tu­el­len Stand im „Fall Ed­ward Snow­den“ und be­leuch­ten das The­ma „di­gi­ta­le Bür­ger­rech­te“ po­li­tisch wie prak­tisch.

Um An­mel­dung an in­fo@­link­-­m.­de wird ge­be­ten.

Veranstaltungsort: EineWeltHaus München, Schwanthalerstr. 80, 80336 München
Veranstalter: Trägerkreis EineWeltHaus München e.V., Digitalcourage e.V.,und Linksystem München in Kooperation
Begin: 19 Uhr
Eintritt frei
Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de