Springe zum Hauptinhalt

Digitalcourage klagt gegen den die Staatstrojaner – Verfassungsbeschwerde unterstützen!

in letz­ter Zeit wer­den wir von Über­wa­chungs­ge­set­zen über­rannt – sie sind ver­steck­t, tra­gen ir­re­füh­ren­de Na­men und wer­den mit Ver­fah­rens­tricks durch­ge­drück­t. Die kürz­lich be­schlos­se­nen Staats­tro­ja­ner ste­chen aber her­vor: Die Spi­o­na­ge­-­Pro­gram­me wer­den heim­lich über Hin­ter­tü­ren auf un­se­ren Smart­pho­nes, Ser­ver­n, Com­pu­tern, Ta­blets und Spiele­kon­so­len in­stal­lier­t. Da­mit das funk­tio­nier­t, wird die Bun­des­re­gie­rung Si­cher­heits­lü­cken ge­zielt of­fen hal­ten, an­statt sie zu schlie­ßen. So kön­nen Po­li­zei, al­le mög­li­chen Ge­heim­diens­te und auch Kri­mi­nel­le in un­se­re Ge­rä­te ein­stei­gen. Das ist ei­ne Ka­ta­s­tro­phe für Un­ter­neh­men, Zi­vil­ge­sell­schaft und öf­fent­li­che Ein­rich­tun­gen. Ge­gen die­sen An­griff wer­den wir Ver­fas­sungs­be­schwer­de ein­le­gen. Das Ge­setz ist klar ver­fas­sungs­wid­rig. Wir ha­ben gu­te Chan­cen, die Staats­tro­ja­ner zu stop­pen – bit­te un­ter­stüt­ze uns auf dem Weg nach Ka­rls­ru­he!

in letz­ter Zeit wer­den wir von Über­wa­chungs­ge­set­zen über­rannt – sie sind ver­steck­t, tra­gen ir­re­füh­ren­de Na­men und wer­den mit Ver­fah­rens­tricks durch­ge­drück­t. Die kürz­lich be­schlos­se­nen Staats­tro­ja­ner ste­chen aber her­vor: Die Spi­o­na­ge­-­Pro­gram­me wer­den heim­lich über Hin­ter­tü­ren auf un­se­ren Smart­pho­nes, Ser­ver­n, Com­pu­tern, Ta­blets und Spiele­kon­so­len in­stal­lier­t. Da­mit das funk­tio­nier­t, wird die Bun­des­re­gie­rung Si­cher­heits­lü­cken ge­zielt of­fen hal­ten, an­statt sie zu schlie­ßen. So kön­nen Po­li­zei, al­le mög­li­chen Ge­heim­diens­te und auch Kri­mi­nel­le in un­se­re Ge­rä­te ein­stei­gen. Das ist ei­ne Ka­ta­s­tro­phe für Un­ter­neh­men, Zi­vil­ge­sell­schaft und öf­fent­li­che Ein­rich­tun­gen. Ge­gen die­sen An­griff wer­den wir Ver­fas­sungs­be­schwer­de ein­le­gen. Das Ge­setz ist klar ver­fas­sungs­wid­rig. Wir ha­ben gu­te Chan­cen, die Staats­tro­ja­ner zu stop­pen – bit­te un­ter­stüt­ze uns auf dem Weg nach Ka­rls­ru­he!

UR­L: htt­ps://­di­gi­tal­cou­ra­ge.­de/blo­g/2017/wir­-­kla­gen­-­ge­gen­-­die­-­staats­tro­ja­ner­-­ver­fas­sungs­be­schwer­de­-­un­ters­tu­et­zen

Artikel 1 – Wählerinitiative zur Bundestagswahl

Die Bun­des­tags­wahl bie­tet die Chan­ce, die Bür­ger­rech­te wie­der zu stär­ken. Wir tre­ten ein für ein de­mo­kra­tisch ver­fass­tes Eu­r­o­pa, das sich nach in­nen und au­ßen für die Men­schen­rech­te ein­setz­t. Wir un­ter­stüt­zen Kan­di­da­tin­nen und Kan­di­da­ten, die für Grund­rech­te ein­tre­ten. Wir ru­fen zur Wahl von Par­tei­en auf, die Rechts­s­taat­lich­keit und Bür­ger­rech­te stär­ken wol­len. Wir ap­pel­lie­ren an al­le Wäh­le­rin­nen und Wäh­ler, die Bür­ger- und Men­schen­rech­te bei Wahl­ver­an­stal­tun­gen an­zu­spre­chen.

Die Bun­des­tags­wahl bie­tet die Chan­ce, die Bür­ger­rech­te wie­der zu stär­ken. Wir tre­ten ein für ein de­mo­kra­tisch ver­fass­tes Eu­r­o­pa, das sich nach in­nen und au­ßen für die Men­schen­rech­te ein­setz­t. Wir un­ter­stüt­zen Kan­di­da­tin­nen und Kan­di­da­ten, die für Grund­rech­te ein­tre­ten. Wir ru­fen zur Wahl von Par­tei­en auf, die Rechts­s­taat­lich­keit und Bür­ger­rech­te stär­ken wol­len. Wir ap­pel­lie­ren an al­le Wäh­le­rin­nen und Wäh­ler, die Bür­ger- und Men­schen­rech­te bei Wahl­ver­an­stal­tun­gen an­zu­spre­chen.

UR­L: htt­p://­pe­ter­-­schaa­r.­de/ar­ti­kel­-­1­-­waeh­ler­in­itia­ti­ve­-­zur­-­bun­des­tags­wahl­-­kom­men­tie­rung­-­dis­kus­si­on

Globale Karte der straßenfreien Gebiete

Zer­ris­se­ne Welt: Stra­ßen zer­stü­ckeln fast ge­sam­te Er­de Ein in­ter­na­ti­o­na­les For­scher­team hat ei­ne glo­ba­le Stu­die zu stra­ßen­lo­sen Räu­men im re­nom­mier­ten Wis­sen­schafts­ma­ga­zin Sci­ence ver­öf­fent­licht. Stra­ßen ma­chen die ent­le­gens­ten Win­kel der Er­de für uns Men­schen schnell und kom­for­ta­bel er­reich­ba­r. Die Na­tur zahlt da­für al­ler­dings einen ho­hen Preis. Die nun­mehr vor­ge­leg­te glo­ba­le Kar­te der stra­ßen­frei­en Räu­me zeig­t, dass Stra­ßen die Erd­ober­flä­che in mehr als 600.000 Frag­men­te zer­tei­len. Mehr als die Hälf­te da­von sind klei­ner als ein Qua­drat­ki­lo­me­ter.

Zer­ris­se­ne Welt: Stra­ßen zer­stü­ckeln fast ge­sam­te Er­de

Ein in­ter­na­ti­o­na­les For­scher­team hat ei­ne glo­ba­le Stu­die zu stra­ßen­lo­sen Räu­men im re­nom­mier­ten Wis­sen­schafts­ma­ga­zin Sci­ence ver­öf­fent­licht.

Stra­ßen ma­chen die ent­le­gens­ten Win­kel der Er­de für uns Men­schen schnell und kom­for­ta­bel er­reich­ba­r. Die Na­tur zahlt da­für al­ler­dings einen ho­hen Preis. Die nun­mehr vor­ge­leg­te glo­ba­le Kar­te der stra­ßen­frei­en Räu­me zeig­t, dass Stra­ßen die Erd­ober­flä­che in mehr als 600.000 Frag­men­te zer­tei­len. Mehr als die Hälf­te da­von sind klei­ner als ein Qua­drat­ki­lo­me­ter.

UR­L: htt­ps://id­w­-­on­li­ne.­de/­de/i­ma­ge?i­d=282770&­si­ze=s­creen

Film „Cyberpeace statt Cyberwar“

Gu­ter Ani­ma­ti­ons­-­Fil­m, wes­halb wir ei­ne brei­te ge­sell­schaft­li­che Dis­kus­si­on über „Cy­ber­pe­ace statt Cy­ber­wa­r“ brau­chen. Von der Kam­pa­gne „Cy­ber­pe­a­ce“ des FIfF.

Gu­ter Ani­ma­ti­ons­-­Fil­m, wes­halb wir ei­ne brei­te ge­sell­schaft­li­che Dis­kus­si­on über „Cy­ber­pe­ace statt Cy­ber­wa­r“ brau­chen. Von der Kam­pa­gne „Cy­ber­pe­a­ce“ des FIfF.

UR­L: htt­ps://vi­meo.­com/216584485

Nicht PGP ist gescheitert, die Entwickler haben versagt

Le­ser­brief zu "Ge­heim­nis­quä­le­rei – War­um PGP für si­cher E-­Mail­-­Kom­mu­ni­ka­ti­on ge­schei­tert ist"

/images/2017/privacyStatus.png
Im aktuellen Linux Magazin 06/2017 ist ein Artikel "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist". Mein Leserbrief dazu:
Nicht PGP ist gescheitert, sondern die Entwickler haben versagt: Sie haben es auch nach 20 Jahren nicht geschafft, benutzerfreundliche Oberflächen für PGP zu entwickeln. Dazu tragen die übertriebenen Sicherheitsansprüche bei, die auch der Autor formuliert: Wenn es schon keine 100-prozentige Sicherheit gibt, müssen es dennoch 99,3% sein. Das ist ein hehres Ziel, aber für die allermeisten Fälle – und die allermeisten Menschen – genügen auch 80%. Es wäre mehr gewonnen,wenn für 10% der Leute diese 80% Sicherheit zur Verfügung stünden, als 0,0,1% der Leute 99,3%.
Das Konzept dazu ist einfach: Automatismen, „Trust on first use“ statt "Web of trust" und eine Oberfläche, die den Benutzer nicht stört. pretty Easy ürivacy (p≡p) zeigt wie das gehen kann – leider ist es noch immer nicht fertig. Stimmt, auch damit ist nicht alles super-sicher. Aber wer braucht im Alltag schon eine "sichere" Signatur unter einer Mail?
Auch der Autor stimmt in den Kanon der übertrieben-sicheren Nerds ein, wenn er schreibt: Um wirklich sicher zu kommunizieren, soll man sich den Ausweis zeigen lassen. Welch ein Unsinn! Von wie vielen Ihrer Freunde haben Sie sich jemals den Ausweis zeigen lassen? Es sind solche Attitüden und Forderungen, die den Nutzern PGP vergällen!
Fazit: PGP für E-Mail-Verschlüsselung ist nicht erledigt, sondern die hohen Rösser der Adepten gehören geschlachtet.
Auch einige andere Aussagen des Artikels scheinen mir fragwürdig: So werden die Anforderungen von Unternehmen in den gleichen Topf geworfen wie die von Privatpersonen. In Unternehmen gibt es keine  "privaten" Schlüssel, denn der Mitarbeiter handelt nie privat, sondern immer im Auftrag der Firma. Daher ist das Hinterlegen des privaten Schlüssels auch kein Problem. Unternehmen wollen auch nicht, dass die Mitarbeiter ein eigenes Web of Trust aufbauen – und womöglich hundertmal einen Schlüssel prüfen. Die im Artikel als Alternative empfohlenen PGP-Mail-Gateways machen ja genau das.
Auch bei Chat ist der Artikel nicht auf dem Stand der Zeit: seit ca. einem Jahr gibt es mit OMEMO eine Implementierung des Signal-Protokolls für XMPP. Das umständliche und unflexible OTR ist damit obsolet.

Bedenkliche Entwicklung: Wie Providern "Vorratsdatenspeicherung as a Service" angeboten wird

Pos­teo ver­öf­fent­licht einen Wer­be­brief der Fir­ma Unis­con, die für "Vor­rats­da­ten­spei­che­rung as a Ser­vice" wirb­t, aber man of­fen­bar nicht weiß, dass E-­Mail­-­An­bie­ter wie Pos­teo (Diens­te der elek­tro­ni­schen Post) von der Pflicht zur Vor­rats­da­ten­spei­che­rung ex­pli­zit aus­ge­nom­men sin­d. Unis­con hat auch ver­sucht, uns bei Di­gi­tal­cou­ra­ge vor ih­ren Kar­ren zu span­nen. Ich war­ne vor sol­chen An­ge­bo­ten.

Pos­teo ver­öf­fent­licht einen Wer­be­brief der Fir­ma Unis­con, die für "Vor­rats­da­ten­spei­che­rung as a Ser­vice" wirb­t, aber man of­fen­bar nicht weiß, dass E-­Mail­-­An­bie­ter wie Pos­teo (Diens­te der elek­tro­ni­schen Post) von der Pflicht zur Vor­rats­da­ten­spei­che­rung ex­pli­zit aus­ge­nom­men sin­d. Unis­con hat auch ver­sucht, uns bei Di­gi­tal­cou­ra­ge vor ih­ren Kar­ren zu span­nen. Ich war­ne vor sol­chen An­ge­bo­ten.

UR­L: htt­ps://­pos­teo.­de/blo­g/­be­denk­li­che­-­ent­wick­lung­-­wie­-­pro­vi­dern­-­vor­rats­da­ten­spei­che­rung­-­as­-­a­-­ser­vice­-­an­ge­bo­ten­-­wird

ChatSecure ist tot, lang lebe ChatSecure

Chat­Se­cu­re ist nur noch einen App für iOS

ChatSecure Logo

In den letz­ten Mo­na­ten gab es ei­ni­ge Ver­wir­rung im „Chat­Se­cu­re“. Nun hat sich der Staub ge­leg­t: Die Chat­Se­cu­re­-­Web­si­te schreibt nun kla­r: „Free and open sour­ce en­cryp­ted chat for iOS.“ Für An­dro­id emp­feh­len sie aus­drü­ck­lich Con­ver­sa­ti­ons.

Chat­Se­cu­re selbst hat be­reits im Ju­li an­ge­kün­dig­t, als nächs­tes OME­MO ein­zu­bau­en, al­so das Kryp­to­-­Pro­to­koll Axo­lotl, das auch in Si­gnal (e­he­mals Text­Se­cu­re) be­nutzt wird. Wenn ich die of­fe­nen Bug­-­Re­ports für Chat­Se­cu­re rich­tig in­ter­pre­tie­re, ist OME­MO in­zwi­schen im­ple­men­tier­t, die Be­nut­zung hakt aber noch an der einen oder an­de­ren Stel­le.

Das bis­he­ri­ge "Chat­Se­cu­re for An­dro­i­d" ist wur­de hart ab­ge­spal­ten (hard for­ke­d) und heißt nun ZOM. Die ha­ben auch einen iOS­-­Cli­ent, der wie­der­um den ak­tu­el­len Code von Chat­Se­cu­re nutz­t. An­schei­nend soll das ei­ne „white la­bel“ Aus­ga­be von Chat­Se­cu­re wer­den, mit ei­ner ver­ein­fach­ten Ober­flä­che un­d, ganz wich­tig, Sti­ckern. Das wird uns si­cher noch ei­ni­ge Ver­wir­rung be­rei­ten.

Deshalb TR-069 ausschalten!

Vor ei­ni­ger Zeit ha­be ich ge­blogg­t, wie man TR-­069 auf der Fritz­box aus­schal­tet. Ich ha­be aber nie ge­schrie­ben, wes­halb man das tun soll­te.

Nun, An­fang der Wo­che gab es einen groß an­ge­leg­ten An­griff auf Speed­por­t­-­Rou­ter der Te­le­kom – über ei­ne Schwach­stel­len in de­ren TR-­069­-­Im­ple­men­tie­rung. Nun ha­ben die­se Speed­por­t­-­Rou­ter nichts mit den Fritz!­Bo­xen zu tun. Den­noch wur­de ich in ei­ner Zu­schrift ge­be­ten, dar­auf hin­zu­wei­sen, dass, wenn TR-­069 aus­ge­schal­tet ist, der Pro­vi­der kei­nen Zu­griff auf den Rou­ter mehr hat und da­mit auch kei­ne Firm­wa­re­-­Up­da­tes mehr ein­spie­len kann.

Das ist kor­rek­t. Und das ist auch ge­nau die Ab­sicht, wenn ich TR-­069 ab­schal­te: Der Pro­vi­der soll kei­nen Zu­griff mehr auf mei­nen Rou­ter ha­ben.

Na­tür­lich kann er da­mit auch kei­ne Firm­wa­re­-­Up­da­tes ein­spie­len. Aber

  1. das tut er so­wie­­so nicht schnell ge­­nu, wie der ak­tu­el­le Fall zeig­t, und

  2. kann das die Fritz­­box selbst.

Wenn ich TR-­069 ein­ge­schal­tet ha­be, er­rei­che ich nur ei­nes: Ich ha­be ein wei­te­res Ein­fall­s­tor für An­grei­fer ge­schaf­fen.

Wer ein Fritz­box hat, soll­te dort na­tür­lich ein­stel­len, dass sie selbst nach Up­dates sucht. Wenn Ih­re Fritz­box was noch nicht kann, schau­en Sie, ob es ei­ne neue Firm­ware gib­t, die das kann. Da­zu müs­sen Sie nur in der Be­nut­ze­r­o­ber­flä­che der FRITZ!­Box auf "Sys­tem", dann auf "Up­da­te" bzw. "Firm­wa­re­-­Up­da­te" und dann auf "Neue Firm­ware su­chen" kli­cken.

In ei­nem an­de­ren, bis­lang un­ver­öf­fent­lich­ten Blog­bei­trag nen­ne ich noch in paar an­de­re Grün­de, wes­halb man TR-­069 de­ak­ti­vie­ren soll­te.

DSL-Fernkonfiguration ist kritisch für den Datenschutz

Vor­letz­te Wo­che gab es et­was Auf­re­gung um TR-­069, weil Si­cher­heits­for­scher ent­deckt ha­ben, dass vie­le Pro­vi­der es un­si­cher im­ple­men­tie­ren. Sie­he hier­zu auch mein Blo­g­-­Post. Nun stellt sich na­tür­lich die Fra­ge nach der Trag­wei­te von TR-­069: Man­che Da­ten­schüt­zer be­fürch­ten Über­grif­fe von Straf­ver­fol­gungs­be­hör­den auf die Pri­vat­sphä­re.

Hier mei­ne Ein­schät­zung:

Auf der einen Sei­te ent­las­tet es tech­nisch we­ni­ger be­da­rf­te Nut­zer, weil sie sich um nichts küm­mern müs­sen. Auf der an­de­ren Sei­te ent­mün­digt es Nut­zer – ins­be­son­de­re dann, wenn es kei­ne Mög­lich­keit gib­t, TR-­069 aus­zu­schal­ten. Und die Be­nut­zer wer­den auch nicht dar­über auf­ge­klär­t, dass es ei­ne sol­che Funk­ti­on gibt und was man da­mit tun kann. Da­mit ver­stärkt es den Tren­d, Kun­dIn­nen völ­lig von der Mög­lich­keit aus­zu­schlie­ßen, die Ge­rä­te zu kon­fi­gu­rie­ren – ein ge­fähr­li­cher Trend durch die ach so be­que­me neue Tech­ni­k.

Das Pro­blem an die­ser Stel­le ist mei­nes Er­ach­tens das man­geln­de Ver­trau­en: Als Bür­ger ha­be ich nicht mehr das Ver­trau­en, dass die Tel­kos un­d/o­der staat­li­che Stel­len mich hier vor Miss­brauch schüt­zen. Sie tun nichts, um mir die­ses Ver­trau­en zu ge­ben. Aber sie tun viel, um das Ver­trau­en zu zer­stö­ren. Ich muss da­mit rech­nen, dass ge­ra­de von staat­li­cher Sei­te die­se tech­ni­schen Mög­lich­kei­ten ge­nutzt wer­den, um mich aus­zu­spio­nie­ren und mich zu über­wa­chen.

Der Stan­dard ist 230 Sei­ten lang und be­zieht sich teil­wei­se ein­fach auf an­de­re Stan­dards. Da­her kann ich mo­men­tan nur ers­te Er­kennt­nis­se wie­der­ge­ben.

TR-­069 kennt Kom­man­dos, um Da­tei­en auf den Rou­ter hoch­zu­la­den, um­zu­be­nen­nen und zu lö­schen so­wie ei­ne re­boot zu ver­an­las­sen (TR-­069 Amend­ment 5, Sei­te 144). Da­ne­ben sind of­fi­zi­ell "her­stel­ler­-­s­pe­zi­fi­sche" Kom­man­dos mög­lich. Da­ne­ben schei­nen noch RP­Cs (Re­mo­te Pro­ce­du­re Calls) mög­lich zu sein, die noch we­sent­lich mehr kön­nen.

Da­mit kön­ne ein An­grei­fer (in die­sem Fall: ein staat­li­cher Dienst) ei­ni­ge Da­tei­en auf den Rou­ter hoch la­den und den Rou­ter re­boo­ten. Da­mit könn­te ei­ne sau­be­re Hin­ter­tür in­stal­liert wer­den, über die das LAN aus­spio­niert wer­den könn­te. Der Be­nut­zer wür­de da­von al­len­falls den Re­boot mit­be­kom­men.

35.000 gegen Vorratdatenspeicherung

Un­ter­stüt­zen Sie die Ver­fas­sungs­be­schwer­de ge­gen die Vor­rats­da­ten­spei­che­rung

Ich ha­be die Ver­fas­sungs­be­schwer­de von Di­gi­tal­cou­ra­ge ge­gen die Vor­rats­da­ten­spei­che­rung un­ter­schrie­ben. Mit der Kla­ge wol­len Di­gi­tal­cou­ra­ge und 20 Pro­mi­nen­te die Über­wa­chung un­se­rer Kom­mu­ni­ka­ti­on stop­pen. Denn ab Som­mer 2017 soll ge­spei­chert wer­den, wer wann wo mit wem te­le­fo­niert oder im In­ter­net un­ter­wegs ist.

Die Schrift­stel­le­r­in Ju­li Zeh, Ka­ba­ret­tist Ma­r­c­-­U­we Kling, ver­.­di­-­Chef Frank Bsir­s­ke, der Öko­nom und Je­su­it Fried­helm Hengs­bach, zwei Bun­des­tags­ab­ge­ord­ne­te, mail­box.org und 13 wei­te­re Pro­mi­nen­te zie­hen da­ge­gen vor das Bun­des­ver­fas­sungs­ge­richt.

30.000 Men­schen ha­ben die Ver­fas­sungs­be­schwer­de be­reits un­ter­schrie­ben – 35.000 Un­ter­schrif­ten sind das Ziel. Mit­ma­chen wirk­t! Al­le Un­ter­schrif­ten wer­den aus­ge­druckt und di­rekt nach un­se­rer gro­ßen Pres­se­kon­fe­renz am Mon­tag, 28. No­vem­ber, dem Bun­des­ver­fas­sungs­ge­richt über­ge­ben.

Setzen wir gemeinsam ein Zeichen gegen Überwachung! Unterzeichne auch du die Verfassungsbeschwerde und leite den Aufruf weiter:

(Mit­ma­chen ist mög­lich bis Sonn­tag, 27. No­vem­ber 2016, um 24:00 Uhr)

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de