Springe zum Hauptinhalt

Digitalcourage klagt gegen den die Staatstrojaner – Verfassungsbeschwerde unterstützen!

in letzter Zeit werden wir von Überwachungsgesetzen überrannt – sie sind versteckt, tragen irreführende Namen und werden mit Verfahrenstricks durchgedrückt. Die kürzlich beschlossenen Staatstrojaner stechen aber hervor: Die Spionage-Programme werden heimlich über Hintertüren auf unseren Smartphones, Servern, Computern, Tablets und Spielekonsolen installiert. Damit das funktioniert, wird die Bundesregierung Sicherheitslücken gezielt offen halten, anstatt sie zu schließen. So können Polizei, alle möglichen Geheimdienste und auch Kriminelle in unsere Geräte einsteigen. Das ist eine Katastrophe für Unternehmen, Zivilgesellschaft und öffentliche Einrichtungen. Gegen diesen Angriff werden wir Verfassungsbeschwerde einlegen. Das Gesetz ist klar verfassungswidrig. Wir haben gute Chancen, die Staatstrojaner zu stoppen – bitte unterstütze uns auf dem Weg nach Karlsruhe!

in letzter Zeit werden wir von Überwachungsgesetzen überrannt – sie sind versteckt, tragen irreführende Namen und werden mit Verfahrenstricks durchgedrückt. Die kürzlich beschlossenen Staatstrojaner stechen aber hervor: Die Spionage-Programme werden heimlich über Hintertüren auf unseren Smartphones, Servern, Computern, Tablets und Spielekonsolen installiert. Damit das funktioniert, wird die Bundesregierung Sicherheitslücken gezielt offen halten, anstatt sie zu schließen. So können Polizei, alle möglichen Geheimdienste und auch Kriminelle in unsere Geräte einsteigen. Das ist eine Katastrophe für Unternehmen, Zivilgesellschaft und öffentliche Einrichtungen. Gegen diesen Angriff werden wir Verfassungsbeschwerde einlegen. Das Gesetz ist klar verfassungswidrig. Wir haben gute Chancen, die Staatstrojaner zu stoppen – bitte unterstütze uns auf dem Weg nach Karlsruhe!

URL: https://digitalcourage.de/blog/2017/wir-klagen-gegen-die-staatstrojaner-verfassungsbeschwerde-unterstuetzen

Artikel 1 – Wählerinitiative zur Bundestagswahl

Die Bundestagswahl bietet die Chance, die Bürgerrechte wieder zu stärken. Wir treten ein für ein demokratisch verfasstes Europa, das sich nach innen und außen für die Menschenrechte einsetzt. Wir unterstützen Kandidatinnen und Kandidaten, die für Grundrechte eintreten. Wir rufen zur Wahl von Parteien auf, die Rechtsstaatlichkeit und Bürgerrechte stärken wollen. Wir appellieren an alle Wählerinnen und Wähler, die Bürger- und Menschenrechte bei Wahlveranstaltungen anzusprechen.

Die Bundestagswahl bietet die Chance, die Bürgerrechte wieder zu stärken. Wir treten ein für ein demokratisch verfasstes Europa, das sich nach innen und außen für die Menschenrechte einsetzt. Wir unterstützen Kandidatinnen und Kandidaten, die für Grundrechte eintreten. Wir rufen zur Wahl von Parteien auf, die Rechtsstaatlichkeit und Bürgerrechte stärken wollen. Wir appellieren an alle Wählerinnen und Wähler, die Bürger- und Menschenrechte bei Wahlveranstaltungen anzusprechen.

URL: http://peter-schaar.de/artikel-1-waehlerinitiative-zur-bundestagswahl-kommentierung-diskussion

Globale Karte der straßenfreien Gebiete

Zerrissene Welt: Straßen zerstückeln fast gesamte Erde Ein internationales Forscherteam hat eine globale Studie zu straßenlosen Räumen im renommierten Wissenschaftsmagazin Science veröffentlicht. Straßen machen die entlegensten Winkel der Erde für uns Menschen schnell und komfortabel erreichbar. Die Natur zahlt dafür allerdings einen hohen Preis. Die nunmehr vorgelegte globale Karte der straßenfreien Räume zeigt, dass Straßen die Erdoberfläche in mehr als 600.000 Fragmente zerteilen. Mehr als die Hälfte davon sind kleiner als ein Quadratkilometer.

Zerrissene Welt: Straßen zerstückeln fast gesamte Erde

Ein internationales Forscherteam hat eine globale Studie zu straßenlosen Räumen im renommierten Wissenschaftsmagazin Science veröffentlicht.

Straßen machen die entlegensten Winkel der Erde für uns Menschen schnell und komfortabel erreichbar. Die Natur zahlt dafür allerdings einen hohen Preis. Die nunmehr vorgelegte globale Karte der straßenfreien Räume zeigt, dass Straßen die Erdoberfläche in mehr als 600.000 Fragmente zerteilen. Mehr als die Hälfte davon sind kleiner als ein Quadratkilometer.

URL: https://idw-online.de/de/image?id=282770&size=screen

Film „Cyberpeace statt Cyberwar“

Guter Animations-Film, weshalb wir eine breite gesellschaftliche Diskussion über „Cyberpeace statt Cyberwar“ brauchen. Von der Kampagne „Cyberpeace“ des FIfF.

Guter Animations-Film, weshalb wir eine breite gesellschaftliche Diskussion über „Cyberpeace statt Cyberwar“ brauchen. Von der Kampagne „Cyberpeace“ des FIfF.

URL: https://vimeo.com/216584485

Nicht PGP ist gescheitert, die Entwickler haben versagt

Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"

/images/2017/privacyStatus.png
Im aktuellen Linux Magazin 06/2017 ist ein Artikel "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist". Mein Leserbrief dazu:
Nicht PGP ist gescheitert, sondern die Entwickler haben versagt: Sie haben es auch nach 20 Jahren nicht geschafft, benutzerfreundliche Oberflächen für PGP zu entwickeln. Dazu tragen die übertriebenen Sicherheitsansprüche bei, die auch der Autor formuliert: Wenn es schon keine 100-prozentige Sicherheit gibt, müssen es dennoch 99,3% sein. Das ist ein hehres Ziel, aber für die allermeisten Fälle – und die allermeisten Menschen – genügen auch 80%. Es wäre mehr gewonnen,wenn für 10% der Leute diese 80% Sicherheit zur Verfügung stünden, als 0,0,1% der Leute 99,3%.
Das Konzept dazu ist einfach: Automatismen, „Trust on first use“ statt "Web of trust" und eine Oberfläche, die den Benutzer nicht stört. pretty Easy ürivacy (p≡p) zeigt wie das gehen kann – leider ist es noch immer nicht fertig. Stimmt, auch damit ist nicht alles super-sicher. Aber wer braucht im Alltag schon eine "sichere" Signatur unter einer Mail?
Auch der Autor stimmt in den Kanon der übertrieben-sicheren Nerds ein, wenn er schreibt: Um wirklich sicher zu kommunizieren, soll man sich den Ausweis zeigen lassen. Welch ein Unsinn! Von wie vielen Ihrer Freunde haben Sie sich jemals den Ausweis zeigen lassen? Es sind solche Attitüden und Forderungen, die den Nutzern PGP vergällen!
Fazit: PGP für E-Mail-Verschlüsselung ist nicht erledigt, sondern die hohen Rösser der Adepten gehören geschlachtet.
Auch einige andere Aussagen des Artikels scheinen mir fragwürdig: So werden die Anforderungen von Unternehmen in den gleichen Topf geworfen wie die von Privatpersonen. In Unternehmen gibt es keine  "privaten" Schlüssel, denn der Mitarbeiter handelt nie privat, sondern immer im Auftrag der Firma. Daher ist das Hinterlegen des privaten Schlüssels auch kein Problem. Unternehmen wollen auch nicht, dass die Mitarbeiter ein eigenes Web of Trust aufbauen – und womöglich hundertmal einen Schlüssel prüfen. Die im Artikel als Alternative empfohlenen PGP-Mail-Gateways machen ja genau das.
Auch bei Chat ist der Artikel nicht auf dem Stand der Zeit: seit ca. einem Jahr gibt es mit OMEMO eine Implementierung des Signal-Protokolls für XMPP. Das umständliche und unflexible OTR ist damit obsolet.

Bedenkliche Entwicklung: Wie Providern "Vorratsdatenspeicherung as a Service" angeboten wird

Posteo veröffentlicht einen Werbebrief der Firma Uniscon, die für "Vorratsdatenspeicherung as a Service" wirbt, aber man offenbar nicht weiß, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Uniscon hat auch versucht, uns bei Digitalcourage vor ihren Karren zu spannen. Ich warne vor solchen Angeboten.

Posteo veröffentlicht einen Werbebrief der Firma Uniscon, die für "Vorratsdatenspeicherung as a Service" wirbt, aber man offenbar nicht weiß, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Uniscon hat auch versucht, uns bei Digitalcourage vor ihren Karren zu spannen. Ich warne vor solchen Angeboten.

URL: https://posteo.de/blog/bedenkliche-entwicklung-wie-providern-vorratsdatenspeicherung-as-a-service-angeboten-wird

ChatSecure ist tot, lang lebe ChatSecure

ChatSecure ist nur noch einen App für iOS

ChatSecure Logo

In den letzten Monaten gab es einige Verwirrung im „ChatSecure“. Nun hat sich der Staub gelegt: Die ChatSecure-Website schreibt nun klar: „Free and open source encrypted chat for iOS.“ Für Android empfehlen sie ausdrücklich Conversations.

ChatSecure selbst hat bereits im Juli angekündigt, als nächstes OMEMO einzubauen, also das Krypto-Protokoll Axolotl, das auch in Signal (ehemals TextSecure) benutzt wird. Wenn ich die offenen Bug-Reports für ChatSecure richtig interpretiere, ist OMEMO inzwischen implementiert, die Benutzung hakt aber noch an der einen oder anderen Stelle.

Das bisherige "ChatSecure for Android" ist wurde hart abgespalten (hard forked) und heißt nun ZOM. Die haben auch einen iOS-Client, der wiederum den aktuellen Code von ChatSecure nutzt. Anscheinend soll das eine „white label“ Ausgabe von ChatSecure werden, mit einer vereinfachten Oberfläche und, ganz wichtig, Stickern. Das wird uns sicher noch einige Verwirrung bereiten.

Deshalb TR-069 ausschalten!

Vor einiger Zeit habe ich gebloggt, wie man TR-069 auf der Fritzbox ausschaltet. Ich habe aber nie geschrieben, weshalb man das tun sollte.

Nun, Anfang der Woche gab es einen groß angelegten Angriff auf Speedport-Router der Telekom – über eine Schwachstellen in deren TR-069-Implementierung. Nun haben diese Speedport-Router nichts mit den Fritz!Boxen zu tun. Dennoch wurde ich in einer Zuschrift gebeten, darauf hinzuweisen, dass, wenn TR-069 ausgeschaltet ist, der Provider keinen Zugriff auf den Router mehr hat und damit auch keine Firmware-Updates mehr einspielen kann.

Das ist korrekt. Und das ist auch genau die Absicht, wenn ich TR-069 abschalte: Der Provider soll keinen Zugriff mehr auf meinen Router haben.

Natürlich kann er damit auch keine Firmware-Updates einspielen. Aber

  1. das tut er sowieso nicht schnell genu, wie der aktuelle Fall zeigt, und

  2. kann das die Fritzbox selbst.

Wenn ich TR-069 eingeschaltet habe, erreiche ich nur eines: Ich habe ein weiteres Einfallstor für Angreifer geschaffen.

Wer ein Fritzbox hat, sollte dort natürlich einstellen, dass sie selbst nach Updates sucht. Wenn Ihre Fritzbox was noch nicht kann, schauen Sie, ob es eine neue Firmware gibt, die das kann. Dazu müssen Sie nur in der Benutzeroberfläche der FRITZ!Box auf "System", dann auf "Update" bzw. "Firmware-Update" und dann auf "Neue Firmware suchen" klicken.

In einem anderen, bislang unveröffentlichten Blogbeitrag nenne ich noch in paar andere Gründe, weshalb man TR-069 deaktivieren sollte.

DSL-Fernkonfiguration ist kritisch für den Datenschutz

Vorletzte Woche gab es etwas Aufregung um TR-069, weil Sicherheitsforscher entdeckt haben, dass viele Provider es unsicher implementieren. Siehe hierzu auch mein Blog-Post. Nun stellt sich natürlich die Frage nach der Tragweite von TR-069: Manche Datenschützer befürchten Übergriffe von Strafverfolgungsbehörden auf die Privatsphäre.

Hier meine Einschätzung:

Auf der einen Seite entlastet es technisch weniger bedarfte Nutzer, weil sie sich um nichts kümmern müssen. Auf der anderen Seite entmündigt es Nutzer – insbesondere dann, wenn es keine Möglichkeit gibt, TR-069 auszuschalten. Und die Benutzer werden auch nicht darüber aufgeklärt, dass es eine solche Funktion gibt und was man damit tun kann. Damit verstärkt es den Trend, KundInnen völlig von der Möglichkeit auszuschließen, die Geräte zu konfigurieren – ein gefährlicher Trend durch die ach so bequeme neue Technik.

Das Problem an dieser Stelle ist meines Erachtens das mangelnde Vertrauen: Als Bürger habe ich nicht mehr das Vertrauen, dass die Telkos und/oder staatliche Stellen mich hier vor Missbrauch schützen. Sie tun nichts, um mir dieses Vertrauen zu geben. Aber sie tun viel, um das Vertrauen zu zerstören. Ich muss damit rechnen, dass gerade von staatlicher Seite diese technischen Möglichkeiten genutzt werden, um mich auszuspionieren und mich zu überwachen.

Der Standard ist 230 Seiten lang und bezieht sich teilweise einfach auf andere Standards. Daher kann ich momentan nur erste Erkenntnisse wiedergeben.

TR-069 kennt Kommandos, um Dateien auf den Router hochzuladen, umzubenennen und zu löschen sowie eine reboot zu veranlassen (TR-069 Amendment 5, Seite 144). Daneben sind offiziell "hersteller-spezifische" Kommandos möglich. Daneben scheinen noch RPCs (Remote Procedure Calls) möglich zu sein, die noch wesentlich mehr können.

Damit könne ein Angreifer (in diesem Fall: ein staatlicher Dienst) einige Dateien auf den Router hoch laden und den Router rebooten. Damit könnte eine saubere Hintertür installiert werden, über die das LAN ausspioniert werden könnte. Der Benutzer würde davon allenfalls den Reboot mitbekommen.

35.000 gegen Vorratdatenspeicherung

Unterstützen Sie die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung

Ich habe die Verfassungsbeschwerde von Digitalcourage gegen die Vorratsdatenspeicherung unterschrieben. Mit der Klage wollen Digitalcourage und 20 Prominente die Überwachung unserer Kommunikation stoppen. Denn ab Sommer 2017 soll gespeichert werden, wer wann wo mit wem telefoniert oder im Internet unterwegs ist.

Die Schriftstellerin Juli Zeh, Kabarettist Marc-Uwe Kling, ver.di-Chef Frank Bsirske, der Ökonom und Jesuit Friedhelm Hengsbach, zwei Bundestagsabgeordnete, mailbox.org und 13 weitere Prominente ziehen dagegen vor das Bundesverfassungsgericht.

30.000 Menschen haben die Verfassungsbeschwerde bereits unterschrieben – 35.000 Unterschriften sind das Ziel. Mitmachen wirkt! Alle Unterschriften werden ausgedruckt und direkt nach unserer großen Pressekonferenz am Montag, 28. November, dem Bundesverfassungsgericht übergeben.

Setzen wir gemeinsam ein Zeichen gegen Überwachung! Unterzeichne auch du die Verfassungsbeschwerde und leite den Aufruf weiter:

(Mitmachen ist möglich bis Sonntag, 27. November 2016, um 24:00 Uhr)

Portrait von Hartmut Goebel
Hartmut Goebel
Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
Telefon:   +49 871 6606-318
Mobil:   +49 175 29 78 072
E-Mail:   h.goebel@goebel-consult.de