Der umstrittene Vorstandsbeschluß zum Ausschluß von Daniel Domscheit-Berg wurde nach intensiver Aussprache auf der Mitgliederversammlung rückgängig gemacht.
Die Mitglieder des CCC haben sich außerdem dafür ausgesprochen, Michael Gerdes und Sven Gohdes die Ehrenmitgliedschaft im Hackerverein anzutragen. Die Mitgliederversammlung entschied sich ebenfalls mit großer Mehrheit dafür, die diesjährige Verleihung der Big Brother Awards, die am 13. April 2012 in Bielefeld stattfinden wird, auch finanziell wieder zu unterstützen.
Links:
Der CCC publiziert das 271-seitige Dokument, um endlich eine faktenbezogene Diskussion um die angebliche Notwendigkeit der Vorratsdatenspeicherung zu ermöglichen. "Die umfangreiche europaweite Erhebung und Auswertung des MPI offenbart, daß die Stammtischparolen von der 'Schutzlücke' durch den Wegfall der anlaßlosen Telekommunikationsdatenspeicherung keine Faktenbasis haben", faßte CCC-Sprecher Frank Rieger die Ergebnisse der Studie zusammen. "Die Vorratsdatenspeicherung führt nachweislich nicht zu höheren Aufklärungsquoten bei schweren Verbrechen." Das Gutachten vom Juli 2011 betrachtet detailliert Deliktsbereiche hinsichtlich ihrer Aufklärungsquoten. Für den Zeitraum, in dem es in Deutschland eine Vorratsdatenspeicherung gab, ist kein positiver Effekt auf die Aufklärungsquoten zu verzeichnen. Aber auch nach dem Ende der Vorratsdatenspeicherung durch das Urteil des Bundesverfassungsgerichts vom 2. März 2010 war kein Abfall der Quote der aufgeklärten Fälle zu beobachten.
Weiterhin verglichen die MPI-Forscher die Situation und Entwicklungen in anderen europäischen Ländern und zogen auch die Daten aus der auf EU-Ebene durchgeführten, äußerst unzureichenden "Evaluation" heran. Zudem wurden Ermittler, Staatsanwälte und Richter befragt. Auch im direkten Vergleich mit anderen europäischen Ländern, die derzeit eine Vorratsdatenspeicherung umsetzen, ist keine deutsche "Schutzlücke" feststellbar.
Die Studie bemängelt weiterhin das Fehlen systematischer empirischer Untersuchungen zu den Auswirkungen der anlaßlosen Massenerfassung. Auch in Zukunft sind solche wissenschaftlichen Evaluationen aus Kostengründen nicht einmal geplant. Entsprechend werden von den Befürwortern der anlaßlosen Massenspeicherung lediglich Einzelfälle herangezogen, um die Notwendigkeit der Datenhalden herbeizureden.
"Der hartnäckige Unwille, technische Ermittlungsmaßnahmen, die tief in Grundrechte eingreifen, einer regelmäßigen neutralen Evaluierung zu unterwerfen, setzt sich hier fort", erklärte CCC-Sprecher Frank Rieger. "Innenpolitiker und Sicherheitsbehörden sehen offenbar keinen Bedarf an einer sachlichen, faktengestützten Diskussion und versuchen stattdessen immer wieder, mit Einzelfällen und Anekdoten die öffentliche Meinung zu manipulieren." Laut dem MPI-Gutachten halten solche in der öffentlichen Debatte gern verwendeten Fallbeschreibungen einer nüchternen wissenschaftlichen Überprüfung oftmals nicht stand.
Selbst beim Lieblingsthema der Sicherheitspolitiker, dem islamistischen Terror, liegen keinerlei Hinweise dafür vor, daß auf Vorrat gespeicherte Verkehrsdaten in den letzten Jahren zur Verhinderung eines Terroranschlags geführt hätten, wie die MPI-Untersuchung feststellt.
Das Gutachten betrachtet nüchtern die kriminologischen Effekte der Vorratsdatenspeicherung und kommt zu dem eindeutigen Schluß, daß die behauptete Schutzlücke nicht besteht. Nicht erst aufgrund dieser Erkenntnis fordert der CCC daher erneut, auf eine massenhafte verdachtslose Speicherung von Telekommunikationsdaten zu verzichten.
Seit dem 16.1.2012 läuft nun in Berlin der Prozeß gegen die Polizeibeamten, die trotz der fast lückenlosen Videodokumentation des Geschehens eine partiell ganz andere Wahrnehmung vom Geschehen zutage bringt. Wir veröffentlichen hiermit einige Dokumente, die der vom CCC unterstützte Anwalt des Betroffenen, Johannes Eisenberg, uns in anonymisierter Form zur Verfügung gestellt hat.
Zum Prozeß gegen die Polizeibeamten wegen der Gewalttaten gegen friedlichen Demonstranten im Rahmen der FSA09:
Bisherige Meldungen des CCC hierzu:
Die Videodokumentation zum Vorgang:
Am 8. Oktober 2011 veröffentlichte der CCC die Dokumentation und Binärdaten eines deutschen Staatstrojaners. [0] Dieser wurde für verharmlosend "Quellen-Telekommunikationsüberwachung" genannte behördliche Computerinfiltrationen genutzt. Der Einsatz in Ermittlungsverfahren und zur Repression wurde zwischenzeitlich von vielen Bundesländern eingeräumt.
Obwohl der CCC handfeste technische Beweise veröffentlicht hatte, dementierten die Behörden, verantwortliche Innenpolitiker und der Hersteller DigiTask die Existenz illegaler Funktionalitäten [1],[2],[10] und beriefen sich auf eine angeblich veraltete Softwareversion des analysierten Trojaners.
Die Ausflüchte variierten von "Testversion" bis "Prototyp", DigiTask beteuerte noch am 11. Oktober 2011 gegenüber seinen Behördenkunden, daß fast alle Probleme in neueren Versionen gelöst seien. Die Funktion zum Code-Nachladen wird vom Hersteller DigiTask unisono mit den einsetzenden Behörden als "natürlich notwendig" angesehen, zum darin implizierten Grundrechtsverstoß wird in keiner Weise Stellung bezogen. Gemacht wird, was nutzt, der Zweck heiligt die Mittel.
Der CCC legte daher nun eine weitere detaillierte technische Dokumentation einer neueren Version des Staatstrojaners aus dem Jahre 2010 vor. [3] Die Aussagen von DigiTask in [10] erweisen sich anhand der im Bericht erläuterten Details als beschönigender Versuch, die rechtswidrige technische Realität zu kaschieren. Zeitgleich werden vom CCC kommentierte Disassemblate beider Trojaner-Versionen öffentlich zur Verfügung gestellt, um eine Nachvollziehbarkeit der Erkenntnisse zu gewährleisten und weitere Forschung durch Interessierte zu erleichtern. [4]
"Auch in den letzten drei Jahren waren die Behörden und ihr Dienstleister offensichtlich nicht in der Lage, einen Staatstrojaner zu entwickeln, der auch nur minimalen Anforderungen an Beweiskraft, Grundgesetzkonformität und Sicherheit gegen Manipulation erfüllt", faßte ein CCC-Sprecher die neuen Erkenntnisse zusammen. "Es steht aus prinzipiellen und konkreten Gründen auch nicht zu erwarten, daß dies in Zukunft gelingt."
Die Befunde des neuen CCC-Berichts stehen in scharfem Kontrast zu den Behauptungen des Innenstaatssekretärs Ole Schröder, der offenbar das kürzere Streichholz gezogen hatte und dem Bundestag Rede und Antwort stehen mußte. Dort behauptete er: "Die Software wird für jeden Einzelfall entsprechend konzipiert und vorher überprüft, damit sie eben nicht mehr kann, als sie darf." [8] Die Prüfung kann ausweislich der vorgefundenen Zustände nicht sehr intensiv gewesen sein – wie sollte sie auch, ohne verfügbaren Quellcode.
"Der Kontrast zwischen den wohlfeil klingenden Beschwichtigungen des BKA-Präsidenten im Innenausschuß und den vorgefundenen technischen Realitäten könnte kaum größer sein", kommentierte ein CCC-Sprecher. "Das DigiTask-Trojaner-Modell 2010 entspricht wie seine Vorgängervarianten in keiner Weise dem Stand der Technik und enthält weiterhin die grundgesetzbrechende Funktion zum Nachladen beliebiger Erweiterungen. Es ist ein 'multifunktionaler Rohling' in einem ganz anderen Sinne."
Die nun analysierte Version 3.6.44 des von der Firma DigiTask entwickelten Trojaners entspricht in ihren Funktionen den Angaben des BKA-Präsidenten Ziercke im Innenausschuß des Bundestages, [1] nach denen inzwischen eine beidseitige Verschlüsselung und weitere Schutzmechanismen implementiert worden seien. Grundsätzlich stellte sich bei der Analyse heraus, daß sich die Trojaner-Version aus dem Jahre 2010 nur punktuell von der älteren Variante unterscheidet.
Wesentliche technische Neuerung des DigiTask-Trojaners Modell 2010 ist die von BKA-Präsident Ziercke betonte bi-direktionale Verschlüsselung, laut DigiTask seit dem 8. Oktober 2009 in Verwendung. [10] Die Analyse zeigt jedoch, daß diese genauso schlecht implementiert und anfällig für Angriffe ist, wie in den zuvor verwendeten Varianten. Der CCC konnte sein selbstgeschriebenes Trojaner-Steuerprogramm in nur wenigen Stunden anpassen, die Schadsoftware weiterhin steuern und Code auf den Opfer-Rechner nachladen.
Selbst DigiTask mochte die schwerwiegenden Manipulationsmöglichkeiten nicht in Abrede stellen. "Dies würde im Umkehrschluss bedeuten, dass die Behörden eigene nicht richterlich zugelassene Funktionen selbst schreiben und auf das ZÜA System laden. Dieser Vorwurf der Manipulation durch eine Sicherheitsbehörde ist technisch möglich, würde aber geloggt werden und mit einem MD5 Hash Wert versehen." (Agovis im Original) Wieso die manipulierende Sicherheitsbehörde dazu die DigiTask-Steuersoftware verwenden sollte, die möglicherweise den Code-Upload loggen könnte, bleibt wohl das Geheimnis des DigiTask-Geschäftsführers Achim Pulverich.
Wie von Herrn Ziercke zu Protokoll gegeben sind die Funktionen zum Anfertigen von Bildschirmfotos nicht mehr direkt aus der staatlichen Fernsteuersoftware heraus zugänglich. Die verfassungswidrige Nachladefunktion steht jedoch weiterhin scheunentorweit offen. Dies bedeutet, daß unbefugten Dritten vom spukhaften Fernlöschen von Dateien bis hin zur akustischen Raumüberwachung genausoviele Möglichkeiten geboten werden, wie den ermittelnden Beamten und ihren von Unkenntnis der technischen Sachlage geplagten Vorgesetzten.
Besonders bemerkenswert ist die Verwendung desselben, bereits mindestens drei Jahre alten und zudem fest eingebauten AES-Schlüssels für die Verschleierung der Datenübertragung. Laut der DigiTask-Stellungnahme ist erst seit dem 2. Juli 2010 überhaupt die Vergabe eines anderen AES-Schlüssels "global für eine Recording Unit" möglich. Eine angeblich neue, aber noch nicht veröffentlichte Version soll nun sogar bahnbrechenden Fortschritt ermöglichen und einen neuen Key pro Infiltrationsmaßnahme ermöglichen. Das dem CCC vorliegende Trojaner-Exemplar vom Dezember 2010 hat jedoch wiederum keinen abweichenden AES-Schlüssel. Kleinere Anpassungen versetzten den CCC innerhalb kürzester Zeit in die Lage, mit Hilfe seines selbstentwickelten Fernsteuer-Werkzeugs auch diesen neueren Trojaner zu kontrollieren, ein Programm hochzuladen und dieses zur Ausführung zu bringen. [5]
Der CCC zeigt zusätzlich zu den bisherigen Erkenntnissen, daß eine sogenannte "revisionssichere Protokollierung" im Falle eines Staats- oder Bundestrojaners nicht effektiv umsetzbar ist. In der Realität der Trojaner-Software kann sogar von unautorisierten Dritten eine Ermittlungsmaßnahme mit fingierten "Beweisen" irregeführt werden. Schon die erste Vorführung einer selbstgebauten Fernsteuer-Software des CCC hat gezeigt, daß ein Trojaner Befehle von unautorisierten Dritten erhalten kann, ohne daß die Behörden davon Notiz nehmen, geschweige denn revisionssicher protokollieren könnten.
Zur Veranschaulichung führte der Club nun eine Software vor, mit Hilfe derer jeder den Ermittlern gefälschte Bildschirmfotos senden kann. Bizarrerweise bestätigt die Herstellerfirma DigiTask in ihrer Stellungnahme diesen Fakt und behauptet allen Ernstes: "Das Unterschieben von falschen Beweisen kann z. B. über eine vorhandene DSL-Überwachung erkannt werden." Daß die DigiTask-Software keine nennenswerten Sicherungsmechanismen gegen einen solchen Angriff aufweist, wird nicht einmal bestritten.
Dahinter steckt der simple Fakt, daß ein Trojaner auf einem unkontrollierbaren System läuft, nämlich dem Computer eines Verdächtigen. Hier ist er potentiell immer unter Kontrolle des Besitzers oder eines weiteren Angreifers. Es ist nicht möglich, einen Trojaner zu entwickeln, den unautorisierte Dritte nicht imitieren könnten. Alles dazu notwendige Wissen steckt schließlich im Trojaner selbst, den man per Definition in dem Moment aus der Hand gibt, wenn man ihn auf dem Fremdsystem installiert. Hier kann er jederzeit entdeckt und untersucht werden. Mit Trojanern erlangte Erkenntnisse sind daher generell nicht gerichtsfest. Der CCC fordert, diese einfache Erkenntnis zu verinnerlichen und gesetzlich zu verankern.
"Per Trojaner erlangte Beweise dürfen generell nicht vor Gericht verwertet werden. Die Exekutive darf kein rechtsfreier Raum sein", sagte ein CCC-Sprecher.
Ein weiterer wesentlicher Aspekt ist die Inkaufnahme von Risiken für die Betroffenen. Man halte sich das Beispiel des Zollkriminalamts vor Augen, das durch eine Infiltration deutscher Firmencomputer mit nachladefähiger Trojanersoftware etwaigen Wirtschaftsspionen und Konkurrenten die aufwendige Verwanzung ihrer Opfer erspart. Schlimmer noch: Die fahrlässige und schlecht geschützte Durchleitung der gewonnenen Betriebsgeheimnisse durch Netzwerke und Rechenzentren auf ihrem Weg in und durch die USA liefern unzähligen weiteren Parteien einen Zugriff frei Haus – 0zapftis.
Die Verantwortlichen für die Konzeptionierung, den Einsatz und die Überprüfung dieser Trojaner lassen den notwendigen Respekt vor dem Urteil des Bundesverfassungsgerichtes aus dem Jahr 2008 sowie eine ausreichende technische und rechtliche Ausbildung vermissen. Wer solch grundgesetzwidrige Vorgehensweise nach der Maxime 'der Zweck heiligt die Mittel' nicht nur billigt, sondern fortzuführen plant, hat in verantwortlicher Position in einem Rechtsstaat nichts verloren.
Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der "Quellen-TKÜ" ("Quellen-Telekommunikationsüberwachung"). Diese "Quellen-TKÜ" darf ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist durch technische und rechtliche Maßnahmen sicherzustellen.
Der CCC veröffentlicht nun die extrahierten Binärdateien [0] von behördlicher Schadsoftware, die offenbar für eine "Quellen-TKÜ" benutzt wurde, gemeinsam mit einem Bericht zum Funktionsumfang sowie einer Bewertung der technischen Analyse. [1] Im Rahmen der Analyse wurde vom CCC eine eigene Fernsteuerungssoftware für den Behörden-Trojaner erstellt.
Die Analyse des Behörden-Trojaners weist im als "Quellen-TKÜ" getarnten "Bundestrojaner light" bereitgestellte Funktionen nach, die über das Abhören von Kommunikation weit hinausgehen und die expliziten Vorgaben des Verfassungsgerichtes verletzen. So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.
Es ist also nicht einmal versucht worden, softwaretechnisch sicherzustellen, daß die Erfassung von Daten strikt auf die Telekommunikation beschränkt bleibt, sondern – im Gegenteil – die heimliche Erweiterung der Funktionalitäten der Computerwanze wurde von vorneherein vorgesehen.
"Damit ist die Behauptung widerlegt, daß in der Praxis eine effektive Trennung von ausschließlicher Telekommunikationsüberwachung und dem großen Schnüffelangriff per Trojaner möglich oder überhaupt erst gewünscht ist", kommentierte ein CCC-Sprecher die Analyseergebnisse. "Unsere Untersuchung offenbart wieder einmal, daß die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."
Der Behördentrojaner kann also auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere gewünschte Aufgaben beim Ausforschen des betroffenen informationstechnischen Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, kann etwa zum Hinterlegen gefälschten belastenden Materials oder Löschen von Dateien benutzt werden und stellt damit grundsätzlich den Sinn dieser Überwachungsmethode in Frage.
Doch schon die vorkonfigurierten Funktionen des Trojaners ohne nachgeladene Programme sind besorgniserregend. Im Rahmen des Tests hat der CCC eine Gegenstelle für den Trojaner geschrieben, mit deren Hilfe Inhalte des Webbrowsers per Bildschirmfoto ausspioniert werden konnten – inklusive privater Notizen, E-Mails oder Texten in webbasierten Cloud-Diensten.
Die von den Behörden so gern suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre existiert in der Praxis nicht. Der Richtervorbehalt kann schon insofern nicht vor einem Eingriff in den privaten Kernbereich schützen, als die Daten unmittelbar aus diesem Bereich der digitalen Intimsphäre erhoben werden.
Der Gesetzgeber ist hier gefordert, dem ausufernden Computerschnüffeln ein Ende zu setzen und endlich unmißverständlich zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren ist. Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern läßt sich auf immer neue Forderungen nach technischer Überwachung ein. Daß der Gesetzgeber die Technik nicht einmal mehr überblicken, geschweige denn kontrollieren kann, beweist die vorliegende Analyse der Funktionen der behördlichen Schadsoftware.
Die Analyse offenbarte ferner gravierende Sicherheitslücken, die der Trojaner in infiltrierte Systeme reißt. Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar. Von einem entsprechenden Penetrationstest hat der CCC bisher abgesehen.
"Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen", kommentierte ein CCC-Sprecher. "Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Paßwörter auf '1234' setzen."
Zur Tarnung der Steuerzentrale werden die ausgeleiteten Daten und Kommandos obendrein über einen in den USA angemieteten Server umgelenkt. Die Steuerung der Computerwanze findet also jenseits des Geltungsbereiches des deutschen Rechts statt. Durch die fehlende Kommando-Authentifizierung und die inkompetente Verschlüsselung – der Schlüssel ist in allen dem CCC vorliegenden Staatstrojaner-Varianten gleich – stellt dies ein unkalkulierbares Sicherheitsrisiko dar. Außerdem ist fraglich, wie ein Bürger sein Grundrecht auf wirksamen Rechtsbehelf ausüben kann, sollten die Daten im Ausland verlorengehen.
Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, die vorhandene Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.
Im Streit um das staatliche Infiltrieren von Computern hatten der ehemalige Bundesinnenminister Wolfgang Schäuble und BKA-Chef Jörg Ziercke stets unisono betont, die Bürger müßten sich auf höchstens "eine Handvoll" Einsätze von Staatstrojanern einstellen. Entweder ist nun fast das vollständige Set an staatlichen Computerwanzen in braunen Umschlägen beim CCC eingegangen oder die Wahrheit ist wieder einmal schneller als erwartet von der Überwachungswirklichkeit überholt worden.
Auch die anderen Zusagen der Verantwortlichen haben in der Realität keine Entsprechung gefunden. So hieß es 2008, alle Versionen der "Quellen-TKÜ"-Software würden individuell handgeklöppelt. Der CCC hat nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und mitnichten individualisiert sind. Die damals versprochene besonders stringente Qualitätssicherung hat weder hervorgebracht, daß der Schlüssel hartkodiert ist, noch daß nur in eine Richtung verschlüsselt wird oder daß eine Hintertür zum Nachladen von Schadcode existiert. Der CCC hofft inständig, daß dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.
Der CCC fordert: Die heimliche Infiltration von informationstechnischen Systemen durch staatliche Behörden muß beendet werden. Gleichzeitig fordern wir alle Hacker und Technikinteressierten auf, sich an die weitere Analyse der Binaries zu machen und so der blamablen Spähmaßnahme wenigstens etwas Positives abzugewinnen. Wir nehmen weiterhin gern Exemplare des Staatstrojaners entgegen. [5]
Addendum zum Bericht des Chaos Computer Clubs über den Staatstrojaner vom 8. Oktober 2011
Links:
[0] Binaries
[1] Bericht über die Analyse des Staatstrojaners
[4] BigBrotherAwards 2009, Kategorie Business: companies selling internet and phone surveillance technology
[5] 0zapftis (at) ccc.de mit folgendem PGP-Key
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.9 (Darwin) mQINBE6OIJYBEADA8V/CA60MHsizwIEk46q3Tw2/DceWdN5jpqr8xD00vhjLMjBx kFgbZdou6yrYnZbrTC72dQbqj/e0KJaj5gmDjzEb29GKxFRbZkhjMSxYPBb4rawJ MRQdv/o/Olsf7ucLCEMRjuNxxczpo5dayDZC1yT4P/PcERscOM1RIOkM+Iaqde4v ApEZavNMrXBlV/s/cQ6gMnzqyzv9dNRaUN8BbNWufWmvue22DUR2kUpsEWYfXBe6 o70k8nxe91uHBDnfjL12n2E7kI79+umniOdXYPQgfzBLTnAgCjHjt+Xy75LOiYXt ea7KPaGZoe9RuV+gAcK0G+NElDF7PjeuHbsV3YLXuQ7wjmbsn6qjpxl2E6C+vY30 29+4Si7FgwKLlJ/NVrAg90OGEQ13BvPGFUq5rES/ILs31fa7jcIXKaF+ADcMs9o3 ymXQF/wU1ENyUMtLsEz9DZ8yKgLVmLlieVmaiMPaJXSFYyHTccJoJ48QfYQARuMa OR+bMhW/wWoubIKgj1tL35GF9fJ0hYpwtMG+Xfyi/JG8fJHV8J01sKG5w/UaBAY1 T4quFIHcdMjoRXwtExCsDjyqHRJAakL4WZEjulb3ReGVfuk+pVXTG4Hsp3E8oVKT v62ahMg7X5ugek232DwUTzfU77sNkcTiuXokPMswbEIfp5zmm9pUhalcnQARAQAB tDcwIFphcGZ0IElzISBSZXZlcnNlIEVuZ2luZWVyaW5nIElucHV0IDwwemFwZnRp c0BjY2MuZGU+iQI+BBMBAgAoBQJOjiCWAhsvBQkHhh+ABgsJCAcDAgYVCAIJCgsE FgIDAQIeAQIXgAAKCRDwbQurk8EwoEHBD/4vkbPzdBw9Ra7IBJCFe6aTUlw4qskU WM+2hyC06wOWgZM8KiGABFabInJ+2krc+humAuRJoZPySoHyOi/QY9ND033FgkhX Vea9EJpZRm0tJmbFMlFLzwT9fZ5r7GL0xLrQKoMEK3vUd0b3xQBqeaFEpB+VfU8Q vKmgTG4dO8pYKVe3/MnjAkS6fUUFOsl9QvHCW8+u2Qn4fl7mUygBTLfK4y2KDruh rh3EjeSuSaMdkNlXLDyEI5Hxttn0fTDp8K2Sh15qaeR1uMrwtxPHZRuSUw7jZ7xH 24eUjJ4ipnwLMqeTNiL5JBwzQIRp9pb1cjiNuhxUCT4tGBPTeHgPR2MeEbBfFuYJ JnSEEO8VRStZXWWAKHj1ku8+YQ90SmFloRAbjlrkZpJn+vrj66wyGyzVbe1bD3Gy jokwVEhcierUaSpUq9ChBIB+vbMQZlchUfIGZPln/WOuwSgo2L6CNTfcA/6FvHYu +2Mg5VoeHOxQm28ZXjqCsODx3+j476S9VlHIDsBRmqPbOUoEzY2VIAyDzTlQE5Kn kBGp8FXk68QYVSS+ZI00cLtoDZlDD22scjn6qDk1y6oHuUnP9UoIF8t2kR1j9xG3 FKrSNufwivgkZ3Fr2n+s9jYMom8YfZi15coNntyYSo7WQOgA29Ssfu8dfG56cdUc WPrcjLfEcjvPMrkCDQROjiCWARAA4dsiBRvVSRN0YFW8iYJNqH0jzu/CwbjsQAOt N6xM8OrjEsu3y82q0g/NryJJ4cVq3kl4r+WDoCwD2wR+oT4oMmg5jWtrs8lSikaG 6Gl1W8e81zkyvDol8+BQLFEDxyyOZ313rQznP8RsBzk8u8x1YBPNyeHEJMF3dusm HUgQW2DY/eUUZQJARb9CHp2DTduTlQbkTPeDnFm6lrvduJyee98QeP+nCw9vTok0 uWc5o9p4VgY+koX10E++iFRlz9rwNzFT2vHPm5MeG1ZITbWjS17ZQNHsgbOdMDUk 08zQOYl29N4IuXRD1zRhs96oDwuxlo1rUE7A8vtf/6S6RETxkS7ykH1csCWrw6s/ CjaioVVoyWIEvCzn60P8kUCsLJCiXTE4rcdaY9eysM1jeNC2t7BpmuY6gSqBwM5m 0VfL86mCIZcE0AaxtrifjjwG8hlnlodyD0Ugi9tO87rPq204wplTMm6iZblKya5a vzQdKckXOXd4DBSB1fKoZBWAFIuZ2asHa57CsZLXAsM1a1b/eGUIilBN6/bXboum Gv2q+yF91kEP4tv+5fWLRJOgyUOiljB4g0JN1n9JfnM2iHaX7wcFh+jCnpX+1xZJ E8urrUEPpt4IOCHB/mJAk2rCrCY69WWJTjuaXIc178TioWDWr+eDuDyENa9pbTCx 5paebg8AEQEAAYkERAQYAQIADwUCTo4glgIbLgUJB4YfgAIpCRDwbQurk8EwoMFd IAQZAQIABgUCTo4glgAKCRBebJ87j17H3iJID/9UVR9HIxmQtQPADWXZxjnNePw1 32O1+Syd9j9JgYczHooudki6mx55ydFHEyu4oDJ7az0UiV92GEl7XV3iwBppf9Ja WvZ5WvWMX4F/ZmmDWENXqQeniqIUlKa9XmA9jhYAEwy7198pbD/qsGBMioDVai0f GTYUiBwHt2spu1uopx30spK/RwBKvbH6cbtGmOvfpXmgsFagtg6kPZPbfGZ3Iumh yWHP4zd/+VcAOkjJv844Nuloh4VMPfwiInakG9bZzg4Ky5kGqB+Vl2WCZSOiVVGo C4JmdMO7IMkBPMRNXQw23rhWWJVjsnF+nT/TnDlnH7g067IZ5YOZftwSun78Cjb1 sRmwCaj9iNbTwEUnES8Clni/AAirYvXs0Isu67WN1lJWUSwAavs6Thswhvpnrsq7 v0svvtmOU1pZVmYGmOFn8xAC+iK1PHFL4BH8NEhkiCMqBfH0pGIjl/hZk60r6Gtf BNB0Fjt/HOQYVHNaQvbpPhWCLYxeVEUfMk9rRE1FlyzYGhBa/pG5ECoJGNQGriGC bB4hzSmwjVqaP7N3qzfeP6xQT4y5A7Xe2zN9FnOO8+vjQ6hMMX4Ch4YDaxuHS3C7 4eQTgmJ9CWERuUBz/AdEobY+sakH+2PHN2eBgwbLBX5ti3YKy1L7DE3EZibKwWm5 D4C9KHCwUpT/unjQ9gM9EACHIFOBbxZF/2o4w6VdrsYYBUcihaEtDMc9sywNTwBF jsxbJM4GHvtwlJlunMp1Iz62f9dL+hAUe76UCq2i7W9eVlT8Pp3xR0+z2Ini1PbG nfgpsbI9q0ncUlGyo+o/fVNASQqqvfGsfU6SuKapwvMdqK6p7G4y+1XodRHChzli v9WV2GRXNSp5jTuU7FZzCUaHilIU1Xh9P2eo/5/QwTvxkHdEssbCtK6hsWNS/ot9 9IRRB5x3Sr2pnb8JiiZrvwh2YlqaD0cs0gViA5gZXTsOVb6IzcaMgnG4M4xu+fgz U+G9jHbwWj9UHcEUPEl5rRmrMTpeu5f2xRZddlbDW1QKREATXZkROsP3GLmXMESe af7BF3+JtUTajYjxQxYwW6hQLkGc4wsIO4nWDFbk/lBh9T25mzTpo54WblDEq9yQ K83zwI2BC3NFqRoZ9IrC3wJsic5T0/bIKALFXo5quK4pE7xt2+c6VQosymeWBk5q Exy6jS1C6RjZGF4qXVPznejivZ9jEv4xUh+BXSMKnZCN9SZIzhWU3K6aqacY8LVm mWE4MA8GJ0dUiw+egWacFBJFRg1I6p1NbuUIlU1WdGne2hyz7djbFofLay15x1Lo wYTTAi2gmp8vxHoZoI30dCJZTtVKb1vIEOE9Tz5Cl/UOVMxtqANGr9/GdVLPY2NB ZQ== =jS/I -----END PGP PUBLIC KEY BLOCK-----
Nicht alle klugen Ideen für die Bewahrung einer digitalen Intimsphäre richten sich gegen die Datensammler selbst, sondern können auch durch Gestaltung, Programmierung und Voreinstellung bei informationstechnischen Geräten und Diensten durchgesetzt werden. Technikgestalter sollten stärker in die Pflicht genommen werden, namentlich durch Umsetzung von "privacy by default"-Ansätzen.
Nicht erst seit der öffentliche digitale Raum zunehmend kommerzialisiert und zu Werbezwecken oder staatlicherseits überwacht wird, gibt es die Idee des "privacy by default": datensparsame Privatsphäre-Einstellungen in Soft- und Hardware von vorneherein mit einzubauen.
Noch zu oft ist die Reaktion auf Angriffe auf die digitale Privatsphäre: Nichtstun. Eine britische Studie etwa zeigt, daß fast die Hälfte der Facebook-Nutzer entweder keinen Gedanken darauf verschwendet oder keinen blassen Schimmer von den Einstellungen hat, daher die Privatsphäre-Einstellungen unverändert läßt. [1] "privacy by default" kann das Aufzeichnen individueller Daten ohne Wissen des Benutzers verhindern. Diskretion im zwischenmenschlichen Handeln kann so unterstützt werden. Absichtliche Datenexhibitionisten werden andererseits nicht gestört, sie können ihre Einstellungen gemäß ihren Vorlieben unbevormundet vornehmen.
Die Idee wird die Benutzung von Werbeplattformen sicher nicht vollständig verändern, aber hilft dabei, das angenehme Gefühl des Unbeobachtetseins ein wenig öfter zu genießen. Vernetzten Datensammlungen und Datenmüllhalden – seien sie kommerziell oder staatlich – wird entgegengewirkt. Langfristig dreht man damit auch die Wahrnehmung des Datenschutzes: Datensparsame Dienste und Voreinstellungen, Software- und Hardware können zum Wettbewerbsvorteil werden.
Es gibt also gute Gründe für "privacy by default": Über das Petitionssystem OpenPetition [3] möchte der vzbv das Quorum von fünfzigtausend Stimmen erreichen, um eine Petition beim Deutschen Bundestag möglich zu machen. Es kann gegenüber der Öffentlichkeit anonym gezeichnet werden. Die Forderung lautet:
Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, daß die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, daß so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.
Der Chaos Computer Club (CCC) unterstützt das Ansinnen der Petition ausdrücklich und möchte alle Mitglieder und sonstige Technikinteressierte auffordern, nicht nur die Petition zu zeichnen, sondern auch bei eigenen Projekten "privacy by default" mitzudenken.
Links:
In einer Presseerklärung [2] erläutern die Militärtechnik-Fachleute des IOSB [1] zur geplanten Werbeveranstaltung auf dem Sommerfest:
Sie feiern und wir passen auf Sie auf
Am 18. September veranstaltet der SWR4 als Höhepunkt der Festsaison sein SWR-Fest in Heidenheim. Das Fraunhofer IOSB nahm die Einladung des SWR gerne an, auf dem Festival das Sicherheitssystem AMFIS einzusetzen und zu präsentieren.
Das AMFIS-System ist ein militärisches Vertragsforschungsprojekt, spezialisiert auf die Überwachung von Regionen und Straßen und das Lokalisieren und Identifizieren von Personen und Fahrzeugen. Dazu werden Daten von fliegenden Drohnen, Heliumballons, Funk-Sensornetzen, Infrarotkameras und Webcams ausgewertet. Das technische Arsenal wird nun auf dem SWR-Sommerfest aufgefahren. Ziel des Einsatzes von AMFIS ist das Feststellen auffälligen Verhaltens. [3] Das Friedensplenum Mannheim [4] schätzt das Fraunhofer-Institut IOSB als Institution ein, die sich überwiegend durch militärische Auftragsforschung finanziert und zum »effizienteren Töten beiträgt«.
Militärtechnik und »Technologie für die Verteidigung« ist das größte Geschäftsfeld des Fraunhofer-Instituts IOSB. Daß die wehrtechnische Forschung nun allerdings an feiernden Zivilisten getestet wird, scheint ein ganz neues Geschäftsfeld zu werden. Zukünftig sollen wohl deutschlandweit Festveranstaltungen überwacht werden.
Was die Militärtechnik auf einem zivilen Sommerfest der ARD zu suchen hat, bleibt das Geheimnis der Organisatoren, ebenso, warum ein solches Fest effizienter überwacht werden soll als die Camps Delta und Echo in Guantánamo. Viel Phantasie ist jedoch nicht vonnöten, um vorherzusehen, auf welchen anderen zivilen Schlachtfeldern das hier erprobte und angepriesene System demnächst zum Einsatz kommt.
Die Veranstalter der öffentlich-rechtlichen Fernsehanstalt stören sich offenbar auch nicht daran, daß die Überwachung der Sommerfestgäste offensichtlich rechtswidrig ist, [5] wie die Justiz und der Landesdatenschutzbeauftragte bereits in einem vergleichbaren Fall klar geäußert haben.
Wer da noch Spaß am Feiern haben sollte, der wird bei jedem Schritt und jedem getrunkenen Bier von vollautomatischen Überwachungsdrohnen auf Video festgehalten werden. Nicht einmal im Gebüsch wäre man ungestört, denn hierüber wacht natürlich ein Infrarot-System.
Der SWR erklärt in einer E-Mail an den Chaos Computer Club den Einsatz des AMFIS-Systems. Hier Auszüge der E-Mail im Wortlaut:
Sehr geehrte Damen und Herren,
liebe Kolleginnen und Kollegen,
ich habe bereits am Freitag nachmittag an ccc.sofortstart.de [sic] folgenden Hinweis gemailt:
Die Aussagen auf Ihrer Online-Seite zum SWR4 Fest in Heidenheim beziehen sich auf eine äußerst missverständliche Pressemitteilung des Fraunhofer Instituts. Diese vermittelt den Eindruck, der SWR habe das Institut beauftragt, ein Sicherheitskonzept für das SWR4 Sommerfest zu entwickeln und umzusetzen.
Das ist nicht der Fall.
Das Sicherheitskonzept ist zwischen dem SWR und der Stadt Heidenheim abgestimmt und sieht an keiner Stelle den Einsatz von Überwachungsdrohnen oder ähnlichem vor. Das Frauenhofer Institut wurde als Repräsentant der Studioregion Karlsruhe eingeladen, um sich vor Ort als Teil des Markts der Regionen zu präsentieren. Dabei wurde zu keinem Zeitpunkt, weder von der
Stadt Heidenheim als örtlichem Veranstalter noch vom Südwestrundfunk, ein Auftrag erteilt, die Überwachung der Gäste zu übernehmen. Lediglich vorbesprochen wurde der eventuelle Einsatz eines kleinen Fesselballons, der Luftbilder für die Fernsehberichterstattung im SWR Fernsehen liefern könnte. Eine Datenspeicherung findet nicht statt.
Ich möchte Sie bitten, dies auf Ihrer Onlineseite richtigzustellen.
Beste Grüße
SÜDWESTRUNDFUNK
Wolfgang Utz
Leiter Pressestelle
Das Bundesverfassungsgericht hatte die Einführung der präventiven Speicherung aller Kommunikationsdaten verworfen und für verfassungswidrig erklärt, dabei die Schwere des Eingriffs in die Freiheitsrechte der Bürger betont. Seit dem Urteil nahm der politische Zank kein Ende, für die reaktionären Hardliner ist die lange Urteilsbegründung wohl doch zu schwer zu verstehen. Den offenkundigen Gefahren und Nebenwirkungen der Vorratsdatenspeicherung oder gar einer inhaltlichen Evaluierung des Vorhabens verschließen sie sich weiterhin. Der zwischenzeitlich veröffentlichte europäische Evaluierungsbericht zur VDS-Richtlinie konnte wie erwartet keine Beweise aufzeigen, daß die Vollüberwachung der Bürger einen adäquaten Mehrwert für Strafverfolger bedeuten würde.
Dennoch sollen nun nach dem Willen der Koalition die Internet-Verbindungsdaten zwangsweise gespeichert werden. Der AK Vorratsdatenspeicherung verschickte daher gemeinsam mit vierzehn Personen aus Zivilgesellschaft, Netzgemeinde, Journalismus, Recht, Wissenschaft und CCC an die FDP-Bundestagsmitglieder einen offenen Brief [2] mit der Aufforderung, den neuen Vorschlägen zur Einführung einer verdachtslosen Speicherung aller IP-Adressen die Zustimmung zu verweigern.
Nachdem sich kein einziger FDP-Abgeordneter die Mühe machte, eine Antwort auf die elektronische Fassung des Briefes zu schicken, [0] wurden die Briefe in dieser Woche nun in papierner Form versendet. Gerade auf die zukünftigen Gefahren verweist der Brief:
"Der Vorschlag einer Vorratsspeicherung von IP-Adressen läßt vollkommen die technische Entwicklung außer Acht. Mit der ab Ende 2011 geplanten Umstellung des Internets auf das neue Adreß-System 'IPv6' droht die individuelle Verfolgbarkeit jedes unserer Online-Schritte über lange Zeiträume hinweg", heißt es in dem offenen Brief an die Abgeordneten.
Jede Form der anlaßlosen Anhäufung von Daten gehört beendet. Denn wie massenweise Telekommunikationsdaten aufgrund vager Verdachtsmomente mißbräuchlich gesammelt, verknüpft und ausgewertet werden, zeigt der sich seit Wochen hinziehende sog. "Handygate"-Skandal in Dresden. Jüngst wurde zugegeben, daß in 40.700 Fällen Demonstrationsteilnehmern und Anwohnern mißbräuchlich hinterhergeschnüffelt wurde. [3] Die offenbar schon routiniert durchgeführten Handyausspähungen drohen bei einer neuerlichen Einführung präventiver Datenspeicherungen uferlos zu werden.
"Auch im Kontext des nicht nur behördlich festgestellten niedrigen Sicherheitsniveaus der Polizei- und Ermittlungsbehörden und der britischen Datenskandale bei Telefon-Providern ist das Prinzip der Datenvermeidung konsequent anzuwenden. Es kann nicht sein, daß weitflächige Erfassungen von Mobilfunknutzung hierzulande mal kurz durch die Deutung einer Sachlage durch Polizeibeamte veranlaßt wird", sagte CCC-Sprecher Andy Müller-Maguhn und ergänzte: "Die Mißbrauchsgefahr der bei der Vorratsdatenspeicherung anfallenden Daten ist real." [4]
In Europa haben bereits mehrere höchste Gerichte die Vorratsdatenspeicherung verworfen, zuletzt im März in Tschechien, wo 51 Abgeordnete erfolgreich geklagt hatten. Selbst die Jusos und einige SPD-Mitglieder arbeiten an der Wiedererlangung der Glaubwürdigkeit ihrer Partei und verlangen nun das Ende der Vorratsdatenspeicherung, auch wenn ihr Parteivorsitzender sich dazu noch nicht durchringen mochte. [1]
Ungeheuerlich ist für den CCC nach wie vor, wie die Rechtsprechung des Bundesverfassungsgerichts de facto ignoriert wird und der Eindruck entsteht, man warte nur den nächsten Vorfall ab, der sich zu einer Begründung für die verdachtslose Vorratsdatenspeicherung hinbiegen läßt. Dem Vertrauen in die Rechtsordnung ist ein solches Vorgehen nicht zuträglich, deshalb: das Konzept der Vorratsdatenspeicherung jetzt endgültig begraben!
Links:
[1] Ismail Ertug, SPD-EU-Parlamentarier: Nein zur Vorratsdatenspeicherung
[2] Offener Brief (pdf) an die FDP-Abgeordneten: Intelligente Strategien für ein sicheres Netz – IP-Vorratsdatenspeicherung stoppen!
[3] Die Polizei wird persönlich
Wir laden Hacker, Nerds, Geeks und Künstler ein, sich in einem der bisher mehr als siebzig Villages [1] zusammenzufinden. Junghacker sind besonders herzlich willkommen. [2]
Die Teilnehmer des Chaos Communication Camps erwarten fünf Tage Programm mit über einhundert Vorträgen und Workshops [3] zu Themen wie Science, Culture und Hacking. Spezielles Thema dieses Camps ist das Hacker Space Program [4], da die Lücke in der bemannten Raumfahrt geschlossen werden muß, die durch die NASA gerissen wurde.
Und das Beste: Es gibt bereits einen Fahrplan! [5]
Wer noch kein Ticket hat, kann das hier ändern. [6] Hilfe bei der Reiseplanung findet sich im Wiki. [7]
[1] http://events.ccc.de/camp/2011/wiki/Villages
[2] http://events.ccc.de/camp/2011/wiki/FamilyVillage
[3] http://events.ccc.de/camp/2011/wiki/Workshops
[4] http://events.ccc.de/camp/2011/wiki/Call_for_Space_Program
[5] http://events.ccc.de/camp/2011/Fahrplan/
[6] https://presale.events.ccc.de/
[7] http://events.ccc.de/camp/2011/wiki/Cheaptrain
Die Verbreitung anonymer und sicherer Kommunikation lag Len besonders am Herzen. Daher trieb er die Entwicklung der Remailer-Software Mixmaster maßgeblich voran. Diese Software wird heute von vielen Menschen zum anonymen Austausch von Nachrichten benutzt. Seine Ideen flossen später auch in die Entwicklung der neuen Remailer-Generation Mixminion ein.
Len Sassaman verband seine Passion mit dem Beruflichen und arbeitete für den Dienst Anonymizer.com, machte zahlreiche Vorschläge zur Verbesserung des OpenPGP-Standards und brachte seine Erfahrung bei der Entwicklung des GnuPG-Software-Projekts ein. Im deutschen Hackerumfeld machte er sich spätestens durch seinen engagierten Vortrag auf dem 24C3 einen Namen. [1]
Zusammen mit seiner Frau Meredith L. Patterson veröffentlichte Len Schwachstellen in der Bitfrost-Plattform des OLPC, Angriffsmethoden gegen eine CA-Infrastruktur (X.509) und vieles mehr. Len Sassaman stand kurz vor der Beendigung seiner Promotionsarbeit an der K. U. Leuven, Belgien.
Trotz seiner zahlreichen Aktivitäten und Forschungsgebiete stand Len seinen Freunden und Kollegen immer geduldig mit Rat und Tat zur Seite. Umso trauriger macht es uns, daß Len aufgrund von Depressionen seinem Leben selbst ein Ende setzte. Unser Mitgefühl gilt seiner Frau und seiner Familie.
Die Beisetzung wird am 9. Juli mittags auf dem De-Jacht-Friedhof in Leuven-Heverlee stattfinden.
Links:
[1] Len beim 24c3: Anonymity for 2015
Foto: Alexander Klink, Creative Commons Attribution 3.0 Unported
Die Unterzeichner dieser Erklärung sind Vertreter der Zivilgesellschaft aus der ganzen Welt, die Freiheiten im Internet, digitale Bürgerrechte und freie Kommunikation fördern wollen.
Unmittelbar vor dem diesjährigen G8-Gipfel in Deauvilleein richtet die französische G8-Präsidentschaft das sogenannte "e-G8 Forum" aus, das G8-Internet-Treffen. Hier will Frankreich die Agenda des G8-Gipfels hinsichtlich zentraler Internet-Regulierungsfragen formen. Dieses Treffen ist deshalb so wichtig, weil die Rolle des Internets in Gesellschaft und Wirtschaft erstmalig ausdrücklich auf der G8-Agenda steht.
Aufgrund der Beteiligung wesentlicher Akteure der Weltpolitik haben Ihre Richtlinien als G8 einen großen Einfluß auf die globale Internet-Regulierung. Bedauerlicherweise unterwandern und bedrohen einige der derzeit in den Industriestaaten geschaffenen gesetzlichen Rahmenbedingungen das offene und neutrale Internet – und damit genau jene Eigenschaften, die den Wesenskern des demokratischen und wirtschaftlichen Potentials des Internets ausmachen.
Unserer Meinung nach sollten die G8-Mitglieder das "e-G8 Forum" als Gelegenheit nutzen, sich öffentlich zu den Zielen zu bekennen, allen Menschen Internetzugang zu ermöglichen, digitale Zensur und Überwachung zu bekämpfen, die Haftung von Vermittlungsinstanzen zu begrenzen und die Prinzipien der Netzneutralität zu wahren.
Wir sind insbesondere besorgt über die zunehmende Anzahl an Ländern, die ihren Bürgern den Zugang zum Internet und mobilen Netzen in Krisenzeiten verwehren, wie es in Ägypten, Libyen, Iran, China, Nepal und Burma geschehen ist. In vielen, wenn nicht allen dieser Länder sehen wir, wie wichtig der Zugang zum Internet als Tor zur Fülle der Bürgerrechte, politischen Möglichkeiten und Menschenrechte anderer ist. Viele G8-Länder setzen derzeit aktiv Regulierungen um, die in ähnlicher Weise darauf abzielen, Netzzugang zu kontrollieren und einzuschränken. Diese Richtlinien legitimieren die Eingriffe repressiver Regime und bedrohen den wirtschaftlichen Kern des Internets. Da viele Länder nun beginnen, die Infrastruktur für den Zugang zum Netz zu verbessern, ist diese Zunahme an restriktiver Regulation, die wir sowohl in den entwickelten als auch den sich entwickelnden Ländern beobachten, eine rückwärtsgewandte und zutiefst beunruhigende Entwicklung.
Gleichzeitig nutzen repressive Regime die Macht des Internets für ihre eigenen Interessen, häufig mit Hilfe weltweit agierender Konzerne, die in den G8-Ländern beheimatet sind. Wir möchten darauf drängen, den Verkauf derartiger Technologien sowohl im In- als auch im Ausland zu stoppen und diesen groben Eingriffen in Privatsphäre und Sicherheit ein Ende zu bereiten.
Vornehmlich die Unterhaltungsindustrie, aber auch andere Sektoren arbeiten mit zunehmendem Druck daran, die Haftung von Online-Dienstleistern für die Handlungen ihrer Nutzer zu erhöhen (z. B. HADOPI und ACTA). Um die Meinungsfreiheit zu erhalten, muß diesem Druck Widerstand geleistet werden. Deshalb schlagen wir vor, dem Beispiel der brasilianischen Regierung und ihren Prinzipien für die Regulierung und Nutzung des Internets zu folgen, insbesondere Absatz 7, der festlegt:
"Jede Maßnahme gegen illegale Handlungen im Netz muß sich gegen jene richten, die unmittelbar dafür verantwortlich sind – und darf nicht die Infrastruktur/Kommunikationsmittel betreffen, so daß immer die grundlegenden Prinzipien von Freiheit, Privatsphäre und dem Respekt vor Menschenrechten gewahrt werden."
Wir rufen Sie außerdem auf, sich dem Schutz der Netzneutralität zu verpflichten – dem Prinzip, daß aller Datentransfer im Netz gleichberechtigt behandelt wird, unabhängig von seinem Ziel, Ursprung oder Inhalt.
Dies sind einige der zentralen Fragen der Internetregulierung, die wir der Aufmerksamkeit der G8 für würdig und bedürftig halten. Wir wollen Ihre Aufmerksamkeit weiterhin auf zwei umfassende Erklärungen lenken, die Nationalstaaten in Fragen der Netzregulation als Richtwert dienen sollten:
Weiterhin möchten wir unserer Besorgnis über die Organisation des "e-G8 Forums" Ausdruck verleihen. Wir stimmen mit dem Internet Governance Caucus darin überein und möchten gemeinsam unsere Sorge über die fehlende Beteiligung und Vertretung der Zivilgesellschaft sowohl beim diesjährigen "e-G8 Forum" als auch beim G8-Gipfel selbst äußern. Entgegen heutiger Gepflogenheiten in der Politikgestaltung standen hauptsächlich Regierungs- und Wirtschaftsvertreter auf den Einladungslisten, die ohnehin schon einen unverhältnismäßig großen Einfluß auf die Netzregulierung haben.
Insbesondere sind wir zutiefst darüber besorgt, daß wirtschaftliche Interessen die Diskussionen sowohl beim "e-G8 Forum" als auch beim G8-Gipfel bestimmen werden. Fragen wie die einer strengen Durchsetzung geistiger Eigentumsrechte und verschärfte Providerhaftung drohen so Vorrang vor bürgernahen Richtlinien wie Netzneutralität, freier Software und dem Kampf gegen Zensur zu erhalten.
Da Firmen 100.000 Dollar für einen Sitz am Tisch der e-G8 bezahlen, sind nur wenige Bürgerrechtsbewegungen vertreten, um für die Rechte der Nutzer aus aller Welt zu einzustehen. Wir befinden uns an einem kritischen Punkt in der Geschichte des Internets und dem Kampf für Menschenrechte. Wir rufen Sie – als gewählte Vertreter der mächtigsten Länder der Welt – auf, jetzt zu handeln, um die Prinzipien digitaler Bürgerrechte und eines freien Netzes aufrechtzuerhalten und zu verteidigen – nicht nur für Ihre Bürger, sondern für die gesamte Menschheit.
Englische Originalfassung: Civil Society Statement to the e-G8
Chaos Computer Club schlägt zeitgemäßes Vergütungsmodell für Kreative vor
Die aktuelle Debatte um die Finanzierung von Kunst und Kultur im digitalen Zeitalter ist festgefahren. Es fehlte bisher ein Konzept, dass zwei Ziele verbindet: Zum einen soll in Zukunft schöpferische Tätigkeit materiell gerecht entlohnt werden. Zum anderen sollen Werke allgemein zugänglich und kreativ weiterverwendbar sein, ihre Verwendung und Archivierung nicht durch DRM (Digital Rights Management) behindert werden.
Zukünftig soll der Nutzer der Werke mit Hilfe des Kulturwertmark-Systems, einer Form des digitalen Micropayments, direkt bestimmen können, welche Kreativen wieviel Geld von ihm bekommen. Jeder Teilnehmer zahlt einen festen monatlichen Betrag ins System ein, den er dann in Form von Kulturwertmark an Künstler seiner Wahl vergeben kann. Als Ausgleich stehen die Werke nach einigen Jahren oder nach Erreichen einer bestimmten Kulturwertmark-Auszahlsumme jedem zur nicht-kommerziellen Nutzung zur Verfügung.
Bisherhige Ideen wie die Kulturflatrate erschweren die Bildung einer Marktdynamik, die für eine breite Akzeptanz nötig ist. Da jeder Teilnehmer seine Kulturwertmark an die Künstler geben kann, die er toll findet, gibt es keine zentrale Vergabebehörde – wie sie bei einer Kulturflatrate notwendig wäre – und niemand muß sich Kriterien für den Wert eines Werkes ausdenken. Wer besonders gute, breit akzeptierte Werke schafft, wird auch entsprechend mehr belohnt.
Dadurch wird ein alternativer neuer Markt für digitale Werke entstehen, der eine direkte Bezahlung für Urheber vorsieht. Gleichzeitig wird eine wachsende digitale Allmende geschaffen. Damit das System die gewünschte Wirkung zeigt und ein hinreichend großes Volumen erreicht, könnte beispielsweise jeder Nutzer durch einen Zuschlag zum Internet-Breitbandanschluß beteiligt werden, den er dann in Form von anonymen Micropayment-Einheiten, den Kulturwertmark, zum Belohnen von Werken seiner Wahl zurückerhält.
"Das Konzept der Kulturwertmark nutzt auf intelligente Weise die aktuellen technologischen Möglichkeiten, um sinnvolle Lösungen für die direkte Bezahlung von schöpferisch Tätigen zu realisieren", erläuterte CCC-Sprecher Frank Rieger den Vorstoß. "Wir wollen raus aus den Grabenkriegen, in denen die Diskussionen bisher feststecken, hin zu einem zeitgemäßen, praktikablen Interessenausgleich."
Das Kulturwertmark-System ist in zweijähriger Diskussion mit Schriftstellern, Filmemachern, Malern, Podcastern, Galeristen und Journalisten entstanden und darauf ausgelegt, eine möglichst breite Vielfalt von schöpferischer Tätigkeit zu belohnen. Im Vordergrund stehen dabei die tatsächlichen Interessen der Kreativen. Die Basis für das Kulturwertmark-System soll von einer Stiftung als Open-Source-Software realisiert werden, so daß sie in Zukunft auch in anderen Ländern verwendet und weiterentwickelt werden kann.
Im Rahmen des fairen Ausgleichs zwischen allen Interessensgruppen sind eine Reihe von grundlegenden Änderungen an den bestehenden Urheberrechtsmodellen notwendig. Insbesondere müssen Schutzfristen deutlich verkürzt und die straf- und zivilrechtliche Verfolgung von Filesharing und privaten Kopien auf kommerzielle – also auf profitorientierte Gewinnerzielung zielende – Verstöße beschränkt werden. Ebenso sollen die verwerterorientierten Prämissen des derzeitigen Urheberrechts überwunden und ein angemessener Ausgleich zwischen Autoren- und Rezipientenrechten erzielt werden. Dafür erhalten die Kreativen in Deutschland die Möglichkeit, an einem riesigen neuen Markt mit garantiertem Mindestvolumen teilzunehmen und die Gewißheit, daß ihre Werke auch in Zukunft zugänglich und rezipierbar bleiben.
"Mit der Kulturwertmark wird gleichzeitig die gerechte Entlohnung von Kreativen gesichert, die sinnlose Verfolgung des privaten, nicht-kommerziellen Filesharing beendet und eine deutliche Vergrößerung der digitalen Allmende erreicht", faßte CCC-Sprecher Frank Rieger die Vorteile des Systems zusammen.
Ernstgemeinte Vorschläge für einen griffigeren Namen als "Kulturwertmark" nimmt der CCC selbstverständlich gern entgegen.
Links:
FAQ: Fragen und Antworten zur Kulturwertmark
iRights.info News: http://irights.info/?q=ccc-kulturwertmark
Konzeptpapier als PDF: http://irights.info/userfiles/CCC_Konzept_Kulturwertmark.pdf oder alternativ hier
Konzeptpapier: http://irights.info/?q=ccc-konzept-kulturwertmark
Das Konzept:
1. Jeder Teilnehmer am System zahlt monatlich einen allgemein festgelegten Betrag. (In der radikalsten Variante wird der Betrag von allen Steuerpflichtigen erhoben. Realistisch ist für den Anfang die Erhebung über den Internetzugang.)
2. In Höhe dieses Betrages erhält jeder Teilnehmer Einheiten einer kryptographisch gesicherten Micropayment-Währung, der Kulturwertmark.
3. Jeder Künstler, der am System teilzunehmen wünscht, registriert sein Werk für die Teilnahme.
4. Nutzer können nun auf einfache Weise einen Betrag in Kulturwertmark ihrer Wahl für das Werk an den Künstler transferieren. Sie erwerben damit keine persönlichen Rechte an dem Werk, sondern drücken ihre Wertschätzung aus. Es steht dem Künstler natürlich frei, beispielsweise für den Download eines Werkes von seiner Seite einen bestimmten Betrag der Kulturwertmark festzusetzen. Alternativ kann die Möglichkeit zum Ausgeben der Kulturwertmark in Werke integriert werden, die dann völlig außerhalb der Kontrolle des Künstlers getauscht oder per Filesharing weitergegeben werden können. Der Künstler erhält das Euro-Äquivalent der für ein Werk gezahlten Kulturwertmark in regelmäßigen Abständen ausgezahlt.
5. Wird ein zuvor festgelegter Schwellwert erreicht, fallen die Verwertungsrechte für das Werk automatisch in den Besitz der Öffentlichkeit und stehen fortan unter einer freien Lizenz, beispielsweise einer geeigneten Variante aus dem Creative-Commons-Fundus.
6. Beträge, die von den Teilnehmern innerhalb eines bestimmten Zeitraumes (etwa ein Jahr) nicht ausgegeben werden, werden automatisch entsprechend aller vergebenen Beträge verteilt. Es gibt also eine vorhersehbare Menge Geld, die pro Jahr tatsächlich verteilt wird.
7. Als Gegenleistung für diesen de facto garantierten Mindestumsatz wird das bisherige Urheberrecht deutlich zugunsten der Rezipienten geändert. Exzessiv lange Schutzfristen werden verkürzt, die zivil- und strafrechtliche Verfolgung nicht-kommerziellen Filesharings wird eingestellt.
Im Ergebnis entsteht ein zweiter Markt für Kunst- und Kulturwerke, der mit minimalem Bürokratie-Überhang zum einen ein sinnvolles Auskommen für Künstler ermöglicht, zum anderen dabei den Marktkräften noch vollen Raum zur Entfaltung läßt und schlußendlich eine fortlaufend wachsende digitale Allmende schafft, die allen zur Verfügung steht.
Der dem CCC zugespielte Entwurf des Staatsvertrages macht deutlich, daß die Ministerpräsidenten der Bundesländer erneut über die Einführung von Internetsperren nachdenken. Der Arbeitskreis fordert die Ministerpräsidenten der Länder auf, umgehend den Stand der Verhandlungen offenzulegen und die Zivilgesellschaft zu beteiligen.
„Wir erleben hier einen weiteren Versuch, eine Zensurinfrastruktur in Deutschland aufzubauen. Diesmal kommt er unter dem Deckmäntelchen der Prävention von Glücksspielsucht, wahrscheinlicher ist jedoch die Furcht vor Steuereinnahmeverlusten durch ausländische Glücksspielseiten“, erklärt Benjamin Stöcker, Mitglied im AK Zensur. „Damit wird dem freien Zugang zu Informationen im Netz der Kampf angesagt. Dabei dachten wir, die Politik hätte aus den Debakeln beim Jugendmedienschutzstaatsvertrag und dem Zugangserschwerungsgesetz gelernt.“
Welche Sperrtechnik zum Einsatz kommen soll, ist dem Entwurf nicht eindeutig zu entnehmen. Es besteht aber Grund zur Befürchtung, daß die Eingriffe diesmal noch über die geplanten Stopschilder des Zugangserschwerungsgesetzes hinausgehen sollen. Denkbar ist, daß die Zugangsprovider zu Sperren auf IP-Adress-Ebene oder gar einer sogenannten Deep Packet Inspection – und damit der Überwachung des gesamten Netzverkehrs – genötigt werden sollen. Dies wären Techniken, wie sie sonst nur in China und anderen totalitären Regimes zum Einsatz kommen.
„Auch nach den monatelangen Debatten über Netzsperren und dem politischen Scheitern dieser technisch kontraproduktiven und die Demokratie gefährdenden Maßnahmen hat offenbar noch immer kein Umdenken in den Staatskanzleien der Länder eingesetzt. Stattdessen wird eine erstaunliche Lernresistenz an den Tag gelegt und dem längst verwesenden Pferdekadaver namens 'Netzsperren' ein neues Sättelchen angelegt“, sagte CCC-Sprecher Dirk Engling.
Der AK Zensur fordert die Ministerpräsidenten der Länder auf, umgehend den aktuellen Verhandlungsstand des Staatsvertrages zu veröffentlichen und klarzustellen, mit welchen technischen Maßnahmen die Sperrforderung im aktuellen Entwurf des Glücksspielstaatsvertrages durchgesetzt werden soll. Außerdem soll eine angemessene gesellschaftliche Debatte über geplante DNS-Manipulationen und eine kritische Beteiligung der Zivilgesellschaft bei den Verhandlungsrunden statt der Kungelrunden hinter verschlossenen Türen ermöglicht werden.
Wörtlich steht im Entwurf vom 3. Dezember 2010 im § 9 Abs. 1 S. 3 Nr. 5, die Glücksspielaufsicht könne
Diensteanbieter im Sinne des Telemediengesetzes nach vorheriger Bekanntgabe unerlaubter Glücksspielangebote die verantwortliche Mitwirkung am Zugang zu den unerlaubten Glücksspielangeboten untersagen. Das Grundrecht des Fernmeldegeheimnisses (Artikel 10 des Grundgesetzes) wird durch Satz 1 eingeschränkt. Hierdurch sind Telekommunikationsvorgänge im Sinne des § 88 Abs. 3 Satz 3 des Telekommunikationsgesetzes betroffen.
Links:
Entwurf des Glücksspielstaatsvertrages
Arbeitskreis gegen Internetsperren und Zensur (AK Zensur)
Auf den Internetseiten der Bundesfinanzagentur [1] konnte jahrelang jeder Internetnutzer mit seinem Webbrowser eigene Angebote für Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden dadurch erleichtert, daß die Agentur dem Surfer einen graphischen Datenmanager [2] anbot.
Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale Dienstleister für die Kreditaufnahme des Bundes durch Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen Bundesbank aus.
Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf "Internet Banking" geschieht. Er kann den Webserver so umprogrammieren, daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte Apache-Webserversoftware unterstützt die nötigen Funktionen bereits standardmäßig.
Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle Phishing-Warnungen des Webbrowser inaktiv.
"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling.
Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die Webagentur habe das so geliefert" – und es sei nie etwas daran geändert worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, sagte der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.
"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die für die Refinanzierung der deutschen Schuldengebirge zuständig ist, kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur kollektiven Erarbeitung eines besseren Managements der Staatsschulden."
Die Enquête-Kommission arbeitet bereits seit Mai 2010, doch beim Einbezug der Öffentlichkeit hakt es gewaltig. Der Ältestenrat des Deutschen Bundestages hat nach mehr als drei Monaten intensiven "Nachdenkens" am 27. Januar die Unterstützung des Online-Beteiligungssystems Adhocracy abgelehnt. Als Gründe wurden hohe Kosten und eine lange Einführungszeit vorgeschoben – aus Sicht der Netzöffentlichkeit faule Ausreden, mit denen der strukturelle Unwillen gegenüber einer Bürgerbeteiligung an der Enquête-Kommission verdeckt werden soll. Über die vorgeblich neutrale Bundestagsverwaltung wurden so immer neue Hinderungsgründe ins Spiel gebracht.
Nun wird der CCC notfalls durch Übernahme der von der Bundestagsverwaltung veranschlagten – offensichtlich weit überhöhten – Kosten von achtzigtausend Euro für die Einrichtung des Adhocracy-Systems aushelfen. Die preiswerte und schnelle Lösung ist natürlich, daß der CCC dem Bundestag einfach eine Adhocracy-Installation einsatzfertig zur Verfügung stellt.
"Selbstverständlich werden wir im Rahmen der digitalen Entwicklungshilfe für das Adhocracy-System nur dann bezahlen, wenn überhaupt keine andere technische Lösung gefunden werden kann. Wir erachten aber die elektronische Bürgerbeteiligung als so wichtig, daß der CCC im Zweifel die Rechnung für eine den esoterischen Bürokratieprozeduren der Bundestagsverwaltung entsprechende Variante übernehmen wird", erläuterte CCC-Sprecher Frank Rieger den Beschluß der Mitgliederversammlung.
Der CCC sieht in neuen, dynamischen Methoden der Online-Beteiligung an Politikgestaltung – wie etwa Liquid Democracy oder Adhocracy – einen wesentlichen Ansatz für einen demokratischen Neuanfang in der Politik. Mit überwältigender Mehrheit stimmte die Mitgliederversammlung für das digitale Hilfsprogramm.
Die Enquête-Kommission tritt am Montag, den 21. Februar, zu einer Sondersitzung zusammen, in der erneut über die Bürgerbeteiligung gesprochen werden soll. Dabei existiert seit Monaten ein eindeutiger Beschluß für die Einführung des Adhocracy-Systems. Bereits im Einsetzungsbeschluß der Kommission war festgehalten worden, die Öffentlichkeit "in besonderem Maße" und "so transparent wie möglich" einzubeziehen.
Alle Beteiligten in der Enquête betonen unisono, daß ein transparentes, geradezu volksnahes Arbeiten in den Projektgruppen der Kommission allseits gewünscht sei. Praktisch verhindern aber immer wieder Abgeordnete, bezahlte Lobbyisten oder Sachverständige von Union und FDP durch ihr Vetorecht, daß die Sitzungen der Projektgruppen der Enquête öffentlich tagen können.
"Es kann nicht angehen, daß bei erstbester Gelegenheit die guten Vorsätze zu Transparenz und Beteiligung der Bürger hinten runterfallen. Der hartnäckige, hinhaltende Widerstand des Politikbetriebs gegen neue Mitmach-Ansätze entlarvt die wohlfeilen netzpolitischen Sonntagsreden als bloße Lippenbekenntnisse. Dem wollen wir ganz konkret etwas entgegensetzen", faßte CCC-Sprecher Frank Rieger zusammen. "Der '18. Sachverständige', also die Stimme der beteiligungswilligen Netzbürger, soll nicht weiterhin eine Farce bleiben."
Links:
Enquête-Kommission "Internet und digitale Gesellschaft" beim Deutschen Bundestag
De-Mail soll in Zukunft eine verbindliche Adresse für "sichere" Kommunikation sowie Speicherplatz für digitale Unterlagen (elektronischer "Dokumenten-Safe") anbieten. Die kostenpflichtigen De-Mail-Adressen werden von Anbietern wie GMX, Web.de oder T-Online als rechtssicher, vertraulich und zuverlässig gepriesen. Die Bundesregierung beschloß die Einführung von De-Mail im Februar 2009. Nach dem Willen des Gesetzgebers soll De-Mail der Papierbriefbürokratie ein Ende setzen.
Eine sichere, vertrauensvolle Kommunikation setzt die Verschlüsselung der E-Mail vom Anfang bis zum Ende des Versandweges voraus. Im Gesetzentwurf fehlt diese verpflichtende Ende-zu-Ende-Verschlüsselung. Damit läßt sich weder Datenschutz noch eine Vertrauenswürdigkeit der verschickten Daten garantieren. Gerade vor dem Hintergrund, daß De-Mail für sensible Kommunikation mit Behörden genutzt werden soll, wäre aber die Ende-zu-Ende-Verschlüsselung eine zwingende Voraussetzung.
Zudem sind die Identitätsinformationen und Zugangsdaten des Benutzers auf Anforderung an Polizei, Verfassungsschutz, Bundesnachrichtendienst und Militärischen Abschirmdienst ohne eine richterliche Anordnung herauszugeben (Paragraph 112, 113 TKG). Dem unkontrollierten Zugriff staatlicher Stellen auf die De-Mail-Nachrichten wird hier, im Gegensatz zur klassischen Briefpost, ganz nonchalant der Weg geebnet.
"Bei De-Mail wird bewußt auf eine wirklich vertrauenschaffende Kommunikation verzichtet. Die Chance, eine sichere, standardisierte Ende-zu-Ende-Kommunikation für Behörden- und Geschäftsbriefe zu entwickeln, wurde vertan – vor allem weil staatliche Ermittler und Geheimdienste möglichst einfach mitschnorcheln wollen", sagte CCC-Sprecher Frank Rieger.
Für die Benutzer entsteht außerdem die Gefahr ungewollter und unbemerkter rechtsverbindlicher Zustellungen, insbesondere dann, wenn sie nicht regelmäßig ihr digitales Postfach prüfen. Ein weiteres Problem ist, daß zwar De-Mail die gleichen Übertragungs- und Datenformate wie normale E-Mail verwendet, aber absichtlich nicht interoperabel ist. Diese gewollte Inkompatibiltät wird zu Verwechslungen und fehlgeschlagener Kommunikation bei fachlich nicht mit der Bezahl-De-Mail vertrauten Anwendern führen. Die Form der De-Mailvorname.nachname[.nummer]@dienstanbieter.de-mail.de (beispielsweise klaus.hacker.99@t-online.de-mail.de)
ist einer normalen E-Mail so ähnlich, daß Verwechslungen kaum zu vermeiden sein werden.
Das Konkurrenzprodukt E-Postbrief krankt an den gleichen strukturellen Problemen wie De-Mail. Auch dort wurde unter anderem keine Ende-zu-Ende-Verschlüsselung implementiert, man muß schlicht dem Server-Betreiber vertrauen. Die einmalige Gelegenheit, einen umfassenden Standard für sichere, vertrauenswürdige E-Mail-Kommunikation zu schaffen, wurde nicht genutzt.
Die Tatsache, daß man sein Postfach mit Post-Ident identifiziert hat, heißt angesichts der Menge an Trojanern auf den PCs der Nutzer noch lange nicht, daß dieser als einziger auf den eigenen Rechner und somit auf das Postfach Zugriff hat. Wie sich im Mißbrauchsfall die Haftungsfrage gestaltet – schließlich geht es um rechtsverbindliche Schreiben –, wird vom Gesetzentwurf bewußt ausgelassen. Die Lehre, daß selbst der elektronische Personalausweis [4] keine Gewißheit über die Identität des Absenders verschaffen kann, wurde nicht gezogen.
Hinter dem sogenannten Leistungsschutzrecht verbirgt sich die Forderung der Verleger, die unentgeltliche – auch auszugsweise – Nutzung von Online-Artikeln untersagen zu können. Dienste wie Google News, die Nachrichten aggregieren und mit kurzen Textauszügen auf die Originalquelle verlinken, sollen zukünftig verboten oder wenigstens entgeltpflichtig werden. Hiervon wären natürlich auch Blogs betroffen, die Nachrichten zitieren, um aktuelles Geschehen zu kommentieren.
Inhaltlich sinnvolle Begründungen für dieses neu zu schaffende Recht liefern die Presseverleger jedoch nicht. Dennoch konnten der Burda- und der Axel-Springer-Verlag dieses Ansinnen nach Subventionen für ihre Branche im Koalitionsvertrag von CDU/CSU und FDP unterbringen.
Der CCC schließt sich gemeinsam mit vielen Organisationen und Blogs der Initiative gegen ein Leistungsschutzrecht (IGEL) an. Zwar ist das Anliegen sinnvoll, Leistungsträger zu schützen, damit sich andere nicht unbotmäßig an ihrer Leistung bereichern. Doch sind in erster Linie Autoren und Kreative die zu schützenden Leistungserbringer, nicht die Presseverleger. Das geplante Leistungsschutzrecht ist von Verlagslobbyisten erdacht worden und erfüllt nicht einmal in Ansätzen das Ziel, die Kreativen und Autoren besserzustellen.
"Die Presseverleger werden hinnehmen müssen, daß News-Aggregatoren mit Überschriften, kurzen Wortkombinationen und Textteilen aus Artikeln weiterhin Geld verdienen. Sie profitieren schließlich von dieser Verlinkung. Es besteht keinerlei Zwang, Presseartikel frei ins Netz zu stellen, ebenso wie die Aufnahme in einen Suchmaschinen-Index freiwillig ist. Der Mangel an Geschäftsmodellen für das neue Jahrtausend kann kein Grund sein, mittels von Lobbyisten geschriebenen Gesetzen neue Einnahmequellen zu erschließen und dafür die Linkfreiheit abzuschaffen", sagte CCC-Sprecher Andreas Bogk.
Insbesondere in Hinsicht auf die Internetkultur des Wissensaustauschs plädiert der CCC für die Verlinkungsfreiheit im Internet und eine generelle Klarstellung, daß Kurzzitate oder auszugsweise Zitate weiterhin grundsätzlich erlaubt sind, auch und insbesondere bei Links. Die für die Meinungsbildung immer wichtiger werdende Veröffentlichungskultur des Netzes darf nicht zugunsten einer Lex Google abgewürgt werden. Für ein lebendiges Schreiben und Lesen im Netz macht es keinen Sinn, eine Verwertungskette aus dem letzten Jahrtausend gesetzlich festzuschreiben.
Die Initiative gegen ein Leistungsschutzrecht (IGEL) wurde von Till Kreutzer ins Leben gerufen, um die reine Fachdebatte zu einer öffentlichen Diskussion zu machen. Philipp Otto und John Weitzmann unterstützen ihn bei den Zusammenstellungen der Informationen im Portal. [1]
Links:
[1] Informationsportal zum Leistungsschutzrecht
[2] Synopse Leistungsschutzrecht (pdf)
[3] Keine Sympathien für ein Leistungsschutzrecht
Anders als Menschen haben staatliche Stellen gerade keine Privatsphäre, die es zu schützen gilt, sondern lediglich Geheimnisse. Grundsätzlich betrachtet der CCC einen Anspruch des Bürgers auf die ihn betreffenden Informationen und die Transparenz der in seinem Namen erfolgenden staatlichen Aktivitäten als begründet. Die Doppelzüngigkeit der Regierenden wird nicht nur in den veröffentlichten Depeschen deutlich, sondern auch in ihrer Haltung zur Informationsfreiheit. [1]
"Die westlichen Regierungen treten für die Informationsfreiheit immer nur dann ein, wenn es andere Länder betrifft. Sobald es jedoch um mehr als nur Lippenbekenntnisse geht, sobald Daten publiziert werden, die ihre eigenen Heimlichkeiten und Hinterzimmerdeals betreffen, handeln sie offenbar genauso undemokratisch, wie die Staaten, die sie sonst öffentlich lauthals verurteilen", sagte CCC-Sprecher Andy Müller-Maguhn.
Der CCC verurteilt daher aufs schärfste jegliche Eingriffe in die weltweite Informationsinfrastruktur zum Zwecke der Zensur und politischen Unterdrückung von Informationen. [2] Regierungen, etwa in den USA und in Frankreich, haben ihre Exekutive angewiesen, "irgendeinen Weg" zu finden, die Verbreitung der ungeliebten Inhalte im und vom eigenen Land aus zu verhindern. Offenbar nach politischem Druck haben US-amerikanische Dienstleister wie Amazon ihre technische Unterstützung für Wikileaks eingestellt.
Demgegenüber ist es sehr zu begrüßen, daß einige deutsche Internet-Provider ihren Kunden keine Steine in den Weg legen, wenn sie eine Kopie der Wikileaks-Daten bereitstellen wollen. Denn Internet-Provider sollen und dürfen, genau wie die Post, Angebot und Transport beliebiger Inhalte nicht verhindern. Der CCC ruft dazu auf, diese Freiheit zu nutzen und fordert gleichzeitig die deutschen und europäischen Internet-Anbieter auf, sich nicht von ungesetzlichen Drohungen einschüchtern zu lassen.
Auch die unrechtmäßige Beschränkung von Zahlungswegen wie Paypal, Visa oder Mastercard, die für den Betrieb von freien Informationsdiensten nötig sind, ist nicht hinnehmbar. Sie sind ein deutlicher Hinweis darauf, daß die US-amerikanische Monopolstellung für Online-Zahlungsmethoden als offensives Mittel der Zensur eingesetzt wird.
"Der Kampf um Wikileaks ist eine wichtige Auseinandersetzung um die Zukunft der Meinungs- und Informationsfreiheit im Netz. Wir rufen daher dazu auf, Wikileaks alle technische Unterstützung zukommen zu lassen, um diese Schlacht zu gewinnen. Wir müssen den Regierungen verdeutlichen, daß sie mit undemokratischen Methoden der Informationsunterdrückung nicht durchkommen werden", faßte CCC-Sprecher Müller-Maguhn zusammen.
Die Verbreitung der von Wikileaks veröffentlichten Dokumente stellt nach Auffassung des CCC einen legitimen Akt der öffentlichen Meinungsbildung dar und ist eine Wahrnehmung des Grundrechts auf Publikationsfreiheit. Besorgnisserregend ist daher, daß die US-Regierung allen staatlichen Behörden und deren Mitarbeitern und sogar in der Congress-Bibliothek den Zugriff auf die Depeschen verwehrt.
Ähnlich wie in Deutschland hat die Redefreiheit in den USA Verfassungsrang und steht dort im ersten Verfassungszusatz. In Deutschland garantiert der Artikel 5 des Grundgesetzes, daß jeder das Recht hat, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten.
Links und weiterführende Quellen:
[1] Hillary Clinton on Internet Freedom, the first amendment and open internet when it was about other countries:
"On their own, new technologies do not take sides in the struggle for freedom and progress. But the United States does. We stand for a single internet where all of humanity has equal access to knowledge and ideas. And we recognise that the world's information infrastructure will become what we and others make of it.
This challenge may be new, but our responsibility to help ensure the free exchange of ideas goes back to the birth of our republic. The words of the first amendment to the constitution [guaranteeing freedom of speech] are carved in 50 tons of Tennessee marble on the front of this building. And every generation of Americans has worked to protect the values etched in that stone."
[2] Artikel 5 Grundgesetz (1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.
Wir verlieren mit ihm einen einzigartigen Verteidiger der Anonymität und der informationellen Selbstbestimmung als Grundvoraussetzung für die gelebte Demokratie und einen herausragenden Wissenschaftler. Unvergessen werden uns seine mitreißenden Vorträge und anregenden Gedankenexperimente bleiben.
Viele Mitglieder des Chaos Computer Clubs verlieren mit ihm einen Freund und langjährigen Begleiter. Unsere Gedanken sind nun bei seiner Familie, der wir unser tief empfundenes Mitgefühl ausdrücken.
Nachdem der Chaos Computer Club schon seit Jahren auf Risiken bei biometrischen Ausweisdokumenten hingewiesen hat, [8] wurden nun Sicherheitsprobleme in der Praxis demonstriert. Die Sicherheitsexperten Max Moser und Thorsten Schröder konnten zeigen, daß sich schon mit einfacher, für jedermann problemlos im Netz erhältlicher Software sowohl die SuisseID als auch der elektronische Personalausweis (ePA) [2] ferngesteuert benutzen lassen. Die dafür ausgenutzten Sicherheitslücken werden bereits heute hunderttausendfach von Kriminellen benutzt, um etwa Kontendaten zu erlangen. [11]
"Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen", kommentiert CCC-Sprecher Dirk Engling. "Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen."
Der neue elektronische biometrische Ausweis soll am 1. November 2010 in Deutschland eingeführt werden. Er hat eine kontaktlose Schnittstelle mit einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und elektronische Identitätsdaten gespeichert sind. In der Schweiz ist ein elektronischer Identitätsnachweis, basierend auf einer herkömmlichen Smartcard, bereits im Umlauf: die SuisseID. Zwischen der SuisseID und dem deutschen elektronischen Ausweis (ePA) [2] gibt es Parallelen, die beide für Manipulationen verwundbar machen. Diese technischen Angriffe sind teilweise simpel genug, um von gemeinen Online-Kriminellen problemlos beherrscht zu werden.
"Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich", sagt CCC-Sprecher Dirk Engling.
Die Angriffsflächen, die sich durch die Einführung und Verwendung der digitalen Identitäten bieten, sind weitaus umfangreicher als bislang öffentlich thematisiert. "Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet", sagt Sicherheitsforscher Thorsten Schröder.
Bei beiden Produkten handelt sich um Smartcard-Lösungen, welche zur elektronischen Identifikation des legitimen Eigentümers eingesetzt werden sollen. Die SuisseID besitzt ein zweites Zertifikat, welches zusätzlich zur rechtlich verbindlichen Signatur eingesetzt wird. Diese Funktion ist beim deutschen elektronischen Personalausweis noch optional. Beim digitalen Signieren mit der SuisseID gelang es den Angreifern, mit einer fremden Identität eine rechtsgültige Unterschrift abzugeben. Auch der elektronische Ausweis hat vergleichbare Schwächen.
Die elektronische Unterschrift hat für den unbedarften Nutzer weitere Schwachpunkte. So kann nicht davon ausgegangen werden, daß ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussieht. Es gibt weder klare Richtlinien noch Empfehlungen. So war es möglich, innerhalb des Programms "SwissSigner" eine PDF-Datei mit aktiven JavaScript-Inhalten zu signieren, ohne daß die Applikation selber dieses Dokument korrekt darstellen kann. Innerhalb einer anderen Applikation, beispielsweise dem weitverbreiteten Acrobat Reader der Firma Adobe, sieht das Dokument anders aus. Unter gewissen Bedingungen wird gar die rechtsgültige Unterschrift weiter als qualifiziert und intakt dargestellt. [5]
"Es ist grundsätzlich eine schlechte Idee, komplexe Dokumentenformate wie PDF für solche Signaturen zu verwenden", sagte Thorsten Schröder. Der Schweizer Sicherheitsexperte Max Moser kommentierte die Qualität der jetzigen Applikationen zur rechtsgültigen Unterschrift so: "Wozu brauche ich eine rechtsverbindliche Signatur, wenn ich nicht einmal sicher sein kann, daß das, was ich vermute zu unterschreiben, auch tatsächlich dem dargestellten Inhalt entspricht?" Hinzu kommt, daß der Benutzer vollumfänglich dafür haftbar gemacht werden kann, da die Unterschrift ja rechtsgültig ist.
Daß viele aktuelle Computer nicht jederzeit allein unter der Kontrolle ihrer Besitzer stehen, ist leider traurige Realität. Beim Online-Banking ist dies live und in Farbe zu beobachten: Mit dem finanziellen Wert der digitalen Geheimnisse steigt die kriminelle Energie, unerlaubten Zugriff zu erlangen. Ohne Berücksichtigung dieser realen Risiken kann der ePA schon bei der Einführung leicht zu einem weiteren sicherheitstechnisch vermasselten staatlichen Großprojekt werden.
Verwendet der Ausweisbenutzer eines der billigen Lesegeräte, ist er gezwungen, seine geheime PIN über die Tastatur seines Rechners einzugeben. Lauscht nun eine versteckte Software-Komponente wie etwa ein sogenannter "Trojaner" auf dem Rechner diese Tastatureingaben mit, ist die PIN nicht mehr als vertraulich zu betrachten. Auch Taschenspielertricks, wie etwa mit der Maus anzuklickende virtuelle Tastaturen, bieten keinen ernstzunehmendem Schutz bei einem kompromittierten Computer. Mit dem Wissen um die PIN kann ein Angreifer nun den Ausweis nach Belieben benutzen, solange dieser auf einem Lesegerät liegt. Versteckt im Hintergrund kann er sich so online als Besitzer des Ausweise ausgeben, ohne dabei auf die übertragenden Daten Zugriff zu nehmen. Problemlos kann der Angreifer sogar die "geheime" PIN des Ausweises ändern.
Das Bundesinnenministerium hat im Rahmen des Großprojektes die einfachen Basis-Lesegeräte erworben, die per Schadsoftware abgeschnüffelt werden können. [1] Eine Million dieser Geräte sollen in einem "Starterkit" an Ausweisbesitzer vergeben werden. Den Betroffenen wird damit eine potentielle Sicherheitslücke untergejubelt. Auch sozial schwache "Kunden" des ePA sind besonders betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potentiellen Risiken gar nicht aufgeklärt.
Doch selbst der Einsatz von teureren Lesegeräten mit eigener PIN-Tastatur bietet nur begenzten Schutz. Denn der aus dem Online-Banking bekannte Angriff "Man-In-The-Browser" benötigt keine PIN. Hierbei wird der Inhalt von Transaktionen modifiziert, ohne daß der Benutzer dies bemerkt. Deshalb tendieren die meisten Online-Banking-Applikationen zur Endbegünstigtenverifikation bzw. Transaktionssignierung, bei der nicht ausschließlich die Identität des Kunden, sondern auch der Inhalt der Transaktion validiert und bestätigt wird. Obwohl die meisten Banken diese Probleme erkannt haben und durch den Einsatz eines sicheren Zweitkanals den Schwachstellen entgegenwirken, scheinen all diese Erfahrungen an den Designern des ePA vorbeigegangen zu sein.
Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß man nicht einmal im physikalischen Besitz der SuisseID oder des elektronischen Personalausweises sein muß, um Schindluder zu treiben. Die offensichtlich falschen Vertrauensbilder sollten nicht noch von Ministern weiterverbreitet werden.
"Die an der Einführung und am Betrieb der Systeme beteiligten Unternehmen und staatlichen Stellen können nicht oft genug an ihre Pflicht zur wahrheitsgemäßen Aufklärung erinnert werden", sagt Thorsten Schröder. "Wenn schon alle Verantwortlichen behaupten, es ginge gar nicht darum, ein hundertprozentig sicheres System zu schaffen, dann ist es auch ihre verdammte Pflicht, die Bürger im Vorfeld zu informieren und zu sensibilisieren. Die bestehenden Gefahren dürfen nicht hinter Marketing-Geschwätz verschwinden und verschwiegen werden. Zu behaupten, man müsse für einen Mißbrauch im physikalischen Besitz der Smartcard sein, grenzt an Fahrlässigkeit."
In der Schweiz kann man bereits erleben, was in Deutschland bisher nur geplant ist: Mit der SuisseID werden tatsächlich schon digital rechtsverbindliche Signaturen vergeben und Behördengänge erledigt.
Die bei der SuisseID benutzten Smartcards basieren auf dem Chip SLE66CX322P von Infineon, ein Smartcard-Chip der neueren Generation. Obwohl der Chip derzeit als noch ausreichend sicher für diesen Anwendungszweck gilt, kann auch er mit entsprechenden technischen Mitteln angegriffen werden. So hat Christopher Tarnovski auf der Blackhat 2010 gezeigt, wie die Sicherheitsmaßnahmen ausgehebelt werden können. [4] Dies führt dazu, daß die Inhalte extrahiert und Identitäten geklont werden könnten.
Selbst ein Beheben der aktuellen Lücken durch Einsatz von besseren Lesegeräten mit eigener PIN-Tastatur bietet also keine langfristige Sicherheitsgarantie. "Von einer Nutzung der SuisseID zur rechtsgültigen Signierung muß in Anbetracht der mangelhaften Applikationen und komplexen Problemstellungen dringend abgeraten werden", empfiehlt Sicherheitsexperte Max Moser.
Der CCC weist alle zukünftigen Ausweisbesitzer darauf hin, daß nur höherwertige Lesegeräte – mindestens der Klasse 2 – verwendet werden sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels leicht verfügbarer Spionagesoftware zu erreichen. Sie unterscheiden sich von den Billiggeräten durch ein eingebautes Pinpad. Dadurch muß die PIN nicht mehr am PC eingegeben werden, wo sie von der Schadsoftware abgefangen werden kann.
Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt naturgemäß anders: "Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen", schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.
"Was die da rauchen, hätten wir auch gern mal", kommentierte CCC-Sprecher Engling.
Bei den Meldebehörden, die den elektronischen Personalausweis ab 1. November an den Mann bringen sollen, sind die Vorbereitungen längst noch nicht abgeschlossen. Fest steht jedoch bereits, daß die Ausgabe an den Bürger mindestens doppelt solange dauern wird wie beim alten Personalausweis. [6] Die Bürgeranfragen häufen sich unterdessen und können nicht ausreichend beantwortet werden. Auch die Schulungsmaßnahmen stehen noch am Anfang. Selbst die Hardware wurde erst kürzlich an die Meldestellen verschickt.
Die IT-Dienstleister sind ebenfalls unzufrieden. Die in den Meldebehörden benötigte Software liegt noch immer nicht vor. Daher ist die eigentlich für Mitte August angesetzte Testphase bloße Augenwischerei. Ob die Umstellung auf den elektronischen Personalausweis rechtzeitig erfolgen kann, steht einen Monat vor dem Stichtag noch immer in den Sternen.
Übrigens, wer sich die horrenden Personalausweisgebühren sparen will: Vor Ende Oktober noch einen alten Ausweis beantragen hilft auch, die erkennungsdienstliche Behandlung zu umgehen. Die Abgabe der biometrischen Fingerabdrücke ist ab November zwar freiwillig, die des biometrischen Frontalfotos allerdings nicht. Wer den Termin verpaßt, hat nur noch die Chance, den Chip im Ausweis zu deaktivieren. [10] Das bleibt folgenlos, denn rechtlich und faktisch ist das Ausweisdokument auch ohne funktionierenden Chip vollwertig gültig.
[1] Lesegeräte der Klasse CAT-B nach BSI TR 03119
[2] seit neuestem auch nPA, für "neu", demnächst dann tPA, für "teuer"
[3] "Virtuelles PIN-Pad sichert neuen Personalausweis" auch nicht: http://www.egovernment-computing.de/index.cfm?pid=7272&pk=281245&cmp=rss-bep
[4] https://media.blackhat.com/bh-dc-10/video/Tarnovsky_Chris/BlackHat-DC-2010-Tarnovsky-DeconstructProcessor-video.m4v
[5] Signiertes PDF mit aktiven Inhalten: http://www.remote-exploit.org/wp-content/uploads/2010/09/sigdemo.pdf
[6] Bürgerbüro plant für neuen Perso: http://www.derwesten.de/staedte/holzwickede/Buergerbuero-plant-fuer-neuen-Perso-id3666144.html
[7] Hack der Klasse-3-Lesegeräte der Firma Kobil: http://colibri.net63.net/
[8] Vortrag zum ePass und ePA: http://media.ccc.de/browse/conferences/sigint09/SIGINT09_3139_de_epass_und_epa.html
[9] SuisseID Security & Slides des Vortrages von Max Moser und Thorsten Schröder: http://www.remote-exploit.org/?page_id=673
[10] Schüler löschen persönliche Daten auf neuem Personalausweis: http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp (sh. http://web.archive.org/web/20100915002939/http://www.wdr.de/tv/markt/sendungsbeitraege/2010/0913/01_personalausweis_pr.jsp)
[11] Mittwoch, 22. September, 21.55 Uhr im WDR-Fernsehen: http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/uebersicht.jsp
[12] Video: SuisseID / Smartcard USB Takeover http://www.vimeo.com/15155073