Neue Beiträge:

Internet-Überwachung durch GCHQ war illegal

Finde ich nicht überraschend, dass der Europäische Gerichtshof für Menschenrechte die internationalen Abhöraktionen des GHCQ als illegal bewertet.

Aber - soweit ich es verstanden habe - nicht etwa, weil das Abhören an sich illegal sei, zum Beispiel aufgrund der Anlasslosigkeit, der Internationalität, der Größenordnung.

Sondern weil es zu unkontrolliert geschah:

They [three “fundamental deficiencies” in the regime] were that bulk interception had been authorised by the secretary of state, and not by a body independent of the executive;
that categories of search terms defining the kinds of communications that would become liable for examination had not been included in the application for a warrant;
and that search terms linked to an individual (that is to say specific identifiers such as an email address) had not been subject to prior internal authorisation.

Abhören an sich ist schon okay, ebenso das Teilen der Informationen mit ausländischen "Partnern" und die Größenordnung.

Ein Anwalt der Kläger sagte:

“Our right to privacy protects all of us. Today’s decision takes us another step closer to scrapping these dangerous, oppressive surveillance powers, and ensuring our rights are protected.”

Die Einschätzung/Hoffnung teile ich nicht. Ich denke eher, dass eine hochnotschnelle Gesetzesänderung herbeigebastelt wird, die den Kontrollmangel legalisiert. Läuft bei uns ja genauso.

Permalink

Fintech-Parasit ausgelaufen

Twitter-Account von Klarna:

We are currently experiencing system disturbances caused by a technical error. We apologise for any inconvenience this is causing. Whilst we are addressing the issue, customers are unable to log into the app.

Bei diesen "system disturbances" ging es darum, dass man nach dem Einloggen in ein Klarna-Konto persönliche Daten von anderen Leuten gezeigt bekam. Und wohl teilweise bei jedem neuen Einlog-Versuch jeweils immer Daten von anderen Accounts. Welche Daten? Na einfach alle, die interessant sind: Namen, Zahlungsmittel-Informationen, Einkäufe, Kontaktdaten... Es sind wohl ungefähr 90.000 User betroffen.

Ich möchte an dieser Stelle mal wieder sagen, dass es aus mindestens drei Gründen eigentlich keine so tolle Idee ist, parasitäre "Fintechs" wie Paypal, Klarna, kostenlose Kreditkarten etc. als Zahlungsmittel zu nutzen.

  1. Sie stellen - wie man hier mal wieder sieht - ein Sicherheitsrisiko dar. Jedes System, das in einen Datentransfer von sensiblen Daten eingebunden ist, stellt ein  Risiko dar. Je mehr Systeme, desto höher das Risiko.
  2. Sie kassieren Provision dafür, dass sie Geld von hierhin nach dorthin schubsen. Wenn man das so mit etwas Abstand betrachtet und die ganzen Pseudo-Leistungen wie Inkasso, "Käuferschutz" oder "Später zahlen" mal ausblendet, ist das eigentlich ziemlich absurd.
  3. Sie lutschen jede Menge Daten aus den Transaktionen heraus, um mit diesen Daten nochmal gesondert Kohle zu machen. Paypal ist da ganz groß im Geschäft.

Besonders abgefahren ist ja, wenn man Klarna nutzt, um via Sofort Zahlungen anzuweisen. Gleich zwei Parasiten in der Mitte (wobei Sofort mittlerweile eine Tochter von Klarna ist, ändert aber nix an der Hirnrissigkeit). Und für die Nutzung von Sofort müsst ihr extrem sensible Daten eingeben, nämlich euren Online-Banking-Zugang eures richtigen Kontos.

Tut euch selbst den Gefallen: Wenn ihr schon Online-Banking machen müsst, dann wenigstens nicht über parasitäre Intermediäre, wenn es sich vermeiden lässt. Ich habe auch schon über Paypal gezahlt, wenn ich überhaupt keine andere Wahl hatte. Aber wenn ich sie habe, vermeide ich's. Auch aus anderen Gründen als nur wegen des Datenschutzes.

Permalink

DSGVO - wie steht's denn eigentlich dem Art. 20 so?

Bin über einen Artikel bei einem bekannten deutschen IT-News-Service gestolpert, das ich wegen deren Consent-Schranke nicht mehr verlinke.

Die brachten mich auf die Idee, auf dem Stand der DSGVO rumzukauen, bzw. deren Umsetzung und vor allem Durchsetzung.

Es gab durchaus mal ein paar Strafen für Vergehen (die teilweise im Nachhinein erheblich reduziert wurden), aber ansonsten wird die DSGVO insbesondere von den großen Datenkraken nicht so wirklich ernst genommen. Wozu auch, wenn keine wirklich problematischen Konsequenzen zu befürchten sind, wenn man gegen sie verstößt.

Ihr habt ja bestimmt mal über die "Betroffenenrechte" gelesen - also was man so alles verlangen darf bezüglich des Umgangs mit den eigenen personenbezogenen Daten.

Art. 20/2, Recht auf Datenübertragbarkeit, besagt:

Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Also für mich klingt das so: Wenn ihr beschließt, die Bank zu wechseln, oder das soziale Netzwerk, oder wenn ihr mal was in einem Online-Shop bestellt habt und dann in einem anderen was bestellen wollt: Dann wäre es doch eigentlich im Rahmen unserer Befugnis, die Betreiber, die bereits über unsere Daten verfügen, anzuweisen, die Daten zu einem anderen Betreiber zu transferieren. "Soweit dies technisch machbar ist" kann man im Falle von digitalen Daten mal grundsätzlich immer bejahen. Die Frage ist nur, wie viel Aufwand das bedeutet, und spätestens hier würde es Krieg geben.

Also wenn ich zur Volksbank gehe und sage: Hört mal ihr Galoschenknödel, ich will eure absurd teuren Girokonten nicht mehr bezahlen und eröffne stattdessen bei der Dibadibadu ein Konto, das mich nix kostet. Übertragt mal bitte jetzt meine personenbezogenen Daten dahin und zwar bis vorgestern.

Was glaubt ihr, was dann passiert?

Also dieser Art.20 ist m.E. ziemlich realitätsfern, ES SEI DENN, er würde mal durchgesetzt. Was nicht passieren wird.

Permalink

Bei der christlich-demozialen Union hagelt's

Was hagelt, fragt ihr? Positionen, die einer freiheitlich demokratischen Grundordnung und einer verfassungstreuen, anständigen Volksdienlichkeit diametral entgegenstehen.

Die CDU-Amigos Frei und Voss bekleiden in den letzten Tagen wirklich mal wieder die Top-Positionen unter denjenigen, die Bürgerrechte schnellstmöglich abschaffen wollen, speziell im Bereich Privatsphäre und Datenschutz.

Während Frei die totale, anlasslose Überwachung der Bürger anzustreben scheint, wünscht sich Voss die Reformierung der DSGVO - damit das Öl des 21. Jahrhunderts endlich wieder ungehindert fließen kann.

Ich picke aus dem Positionspapier von Voss - er nennt das DSGVO 2.0 - mal ein paar Perlen heraus.

Wenn das Gesetz jedoch alle Rechte und Freiheiten schützen will, führt dies zu einer Überforderung der für die Verarbeitung Verantwortlichen, da sie theoretisch alle Grundrechte und Freiheiten berücksichtigen müssten,...

Na dann, schaffen wir doch Gesetze zu Recht und Freiheit ab. Die sind nur hinderlich. Bzw. machen wir doch Richtlinien aus den Gesetzen. Nett, wenn man sie befolgt, aber auch nicht so schlimm, wenn nicht.

Die DSGVO sieht jede Verarbeitung personenbezogener Daten als potenzielles Risiko und verbietet sie grundsätzlich. Sie erlaubt sie nur, wenn ein Rechtsgrund erfüllt ist.

[...]

Die Verlagerung von Maßnahmen zur Gefahrenabwehr in ein sehr frühes Stadium, in dem die Risiken noch sehr abstrakt sind, führt zudem zu einem rechtsstaatlichen Problem. Eine Vollstreckung [der DSGVO] erfordert nicht mehr eine konkrete Gefahr für ein hinreichend bestimmtes Rechtsgut, wie dies im Polizeigewohnheitsrecht der Fall ist. Folglich gehen auch die Eingriffsbefugnisse der Datenschutzbehörden weit über die üblichen Standards für Behörden hinaus. Das Gesetz [DSGVO] als solches zielt darauf ab, das Internet und seine Nutzer so umfassend wie möglich zu kontrollieren.

Es will auch die Auffassung durchsetzen, dass die Verarbeitung personenbezogener Daten generell als gesellschaftlich unerwünschtes Verhalten angesehen wird. Dieser Ansatz ist nicht nur fortschrittsfeindlich. Es führt dazu, dass selbst die grundrechtlich geschützte oder zur Wahrung des öffentlichen Interesses gesellschaftlich erwünschte Verarbeitung personenbezogener Daten unter ständigen Rechtfertigungsdruck gerät (z. B. die Weitergabe der Daten potenzieller Impfstoffempfänger oder zur Nutzung der COVID-19-Tracing-Apps).

Das muss man sich jetzt mal auf der Zunge zergehen lassen. Der Voss sagt allen Ernstes, dass die DSGVO eine präventive Gefahrenabwehr ist und daher ein rechtsstaatliches Problem darstellt. Und dass die DSGVO zum Ziel habe, Internet und Nutzer zu kontrollieren.

Uff. Ich gehe mal meine Kinnlade im Keller suchen, die ist die Treppe runtergefallen, ob dieser pathologischen Realitätsverzerrung.

Kollege Frei übrigens progapiert die präventive Gefahrenabwehr in Form der Totalüberwachung der Bürger und sieht überhaupt kein Problem mit der Rechtsstaatlichkeit.

Soviel Dreistigkeit kann man sich nicht mal mehr ausdenken.

Aufgeschreckt durch ein weiteres Datenschutz-Banner, stimmen viele Nutzer übermäßig allem zu, umendlich den gewünschten Service zu bekommen, oft ohne zu wissen, wozu sie eigentlich zugestimmt haben.

Also machen wir die Banner wieder weg? Weil wenn die User ohnehin allem zustimmen, sind die Banner ja wirklich überflüssig. Die Chance, etwas abzulehnen, kann man ihnen dann auch gleich wegnehmen, würden sie ja eh nicht nutzen. So sind wir nebenbei das Problem mit den lästigen Dark Patterns los, denn die werden nicht mehr gebraucht, um die User dazu zu bringen, allem zuzustimmen.

Der DSGVO fehlt ein Mechanismus, der es KMU und Start-ups ermöglicht, die Compliance-Last auf Dritte zu verlagern, die dann Daten speichern und verarbeiten.

Super Idee. Statt die Datennutzung einzuschränken, damit nicht mehr Entitäten als nötig mit personenbezogenen Daten zu tun haben, binden wir am besten so viele externe mit ein wie möglich, um die "Last" zu verteilen.

Darüber hinaus haben die Datenschutzbehörden Zugang zu allen Informationen und personenbezogenen Daten sowie zu allen Räumlichkeiten und Datenverarbeitungsanlagen des für die Verarbeitung Verantwortlichen, was es ihnen ermöglicht, Unternehmen effektiv stillzulegen, indem sie die Datenverarbeitung verbieten oder langwierige Ermittlungs-und Compliance-Verfahren auferlegen, was für ein Unternehmen einen Nachteil auf dem Markt bedeuten kann.

Naja, der Gedanke war, Unternehmen, die Datenschutz nicht ernst nehmen, zu bestrafen, oder? Und dass die Unternehmen, die Datenschutz ernst nehmen, einen Wettbewerbsvorteil haben. Das wäre in meiner Weltblase so der Idealzustand.

... oder behindern die Videoüberwachung von Einzelhändlern zum Schutz der Kunden vor Taschendiebstahl.

Ach, die DSGVO behindert den Schutz der Bevölkerung vor Taschendiebstahl? Ach du liebe Zeit. Das hatte ich ja gar nicht auf dem Schirm!!111

Oder meinten Sie vielleicht Schutz der Wirtschaft vor Ladendiebstahl - kleine Verwechslung?

Wie dem auch sei - eine katastrophale Sache, diese DSGVO, weil sie Diebstähle fördert.

Oder, oder... Moment mal *grübel*. Kann es sein, dass Herr Voss hier - er ist ja eigentlich Jurist - vielleicht eine Einschätzung abliefert, die dramaturgisch seiner Argumentation am besten dient?

Denn selbstverständlich ist Videoüberwachung unter bestimmten Voraussetzungen auch weiterhin gestattet - wenn dafür angemessene Gründe vorliegen (potenzieller Ladendiebstahl kann ein solcher Grund durchaus sein), die Daten gesetzeskonform gehandhabt werden und sichergestellt ist, dass kein Missbrauch stattfindet.

Die Forderung, Daten zu „löschen", ist aus praktischer Sicht teilweise unmöglich. Zusammen mit der begrenzten Anleitung, die in Erwägungsgrund 66 und Art. 17 DSGVO gegeben wird, was „angemessen" sein kann, bedeutet dies eine große administrative und operative Belastung für Unternehmen, die entweder nicht in der Lage sind, personenbezogene Daten zu löschen, weil dies ihre Systeme "kaputt" machen würde, oder die unverhältnismäßig teure neue Systeme aufbauen müssen, um irgendeine Art von Anonymisierung zu ermöglichen.

Großer administrativer Aufwand, Datensätze zu löschen? Systeme, die kaputt gehen, wenn man Daten löscht? Teure Systeme zur Anonymisierung?

Über sowas beschweren sich höchstens Unternehmen, die alte, schrottige Software nutzen, die Datenschutz bisher mit Füßen getreten haben, deren Profite auf dem Verkauf von personenbezogenen Daten basieren und die daher nun Mehraufwand haben oder aufgrund ihrer unethischen Geschäftsmodells vor dem Abgrund stehen (zum Beispiel die Werbewirtschaft).

Halbwegs anständige Software, programmiert von Leuten, die ihr Handwerk verstehen, geht nicht kaputt, wenn man mal einen Kundendatensatz löscht. Und eine Anonymisierungsfunktion einzubauen ist weißgott auch kein Hexenwerk - wenn die Software nicht vollkommen beschissen ist.

Die Fairness gebietet es, darauf hinzuweisen, dass es auch ein paar wenige Passagen in dem Text gibt, denen ich zustimme. Zum Beispiel diese hier:

Die Bußgelderaufgrund von DSGVO-Verstößen sind oft nicht angemessen. Während die gegen einige multinationale Unternehmen verhängten Bußgelder manchmal zu niedrig sind, um als wirksame Abschreckung zu dienen, kann bereits die Androhung eines Bußgeldes für ein KMU existenziell sein und es dazu zwingen, seine Geschäftsidee aufzugeben. Was fehlt, sind klare Kriterien, um zu definieren, wann ein Verstoß stattgefunden hat und wie die genaue Höhe des Bußgeldes festgelegt werden kann.

Ansonsten bemängelt Herr Voss auch immer wieder ausführlich, dass die DSGVO vieles zu kompliziert macht, bzw. die Entwicklungslast für datenschutzorientierte Systeme sehr viel höher sei und damit KMUs, Vereine, Wissenschaft etc. durch erhöhte Kosten Probleme bekommen. Alle Argumente in diese Richtung sind völlig irrelevant bzw. unzutreffend.

Datensparsamkeit erfordert nicht mehr, sondern weniger Entwicklungsaufwand. Datenaustausch aufs Nötigste zu reduzieren, erfordert nicht mehr Entwicklungsaufwand, sondern weniger. Daten angemessen sicher zu speichern, erfordert nicht mehr Entwicklungsaufwand, sondern nur angemessene Kompetenz.

Kostenprobleme tauchen - wie schon geschrieben - immer dann auf, wenn bestehende Systeme bislang scheiße und datenschutzunfreundlich waren, und jetzt umgebaut werden müssen. Dann ist es aber auch völlig verdient, dafür bluten zu müssen.

Mann, mann.

Während mir die Motivation von Frei ein Rätsel ist - Totalüberwachung der Bürger bringt ihm, glaube ich, jetzt zunächst mal keine direkten persönlichen Vorteile - hat Voss immerhin einen Posten sicher, wenn ihm die politische Karriere mal entgleitet: Als Wirtschaftslobbyist kommt der auf jeden Fall irgendwo unter.

Wenn ihr mal richtig schlechte Laune haben wollt, lest euch das ganze Pamphlet durch. Meine wenigen Zitate sind nur die Spitze des Eisbergs. Es ist ein einziges Drama der technischen Inkompetenz, Realitätsverzerrung und aus meiner Sicht vorsätzlichen Irreführung. Und so jemand repräsentiert die Bevölkerung unseres Landes im Europaparlament. Das ist unerträglich.

Permalink

Problematische PGP-Implementierung von Thunderbird in einzelnen Versionen

Vorweg: Der Fehler wurde bereits behoben. Aber dass es ihn gab, ist schon sehr schwach:

OpenPGP secret keys that were imported using Thunderbird version 78.8.1 up to version 78.10.1 were stored unencrypted on the user's local disk. The master password protection was inactive for those keys.

Was hat das für Folgen mit der Klartext-Speicherung?

Wenn eine andere Software Zugriff auf die im Klartext rumliegenden privaten Keys hat, kann diese andere Software damit machen, was sie will. Theoretisch zum Beispiel abschnorcheln und kriminellen Elementen zukommen lassen, auf dass die diesen Key missbrauchen.

Also am besten mal Thunderbird updaten, wenn noch nicht geschehen.

Permalink

Facebook findet staatliche Überwachung uncool

Facebook = Der Bock
Privatsphäre = Der Garten

Haben die doch nicht (und vermutlich auch nicht nur dort) bei DigitalCourage nachgefragt, ob man vielleicht eine Facebook-Kampagne gegen staatliche Überwachung unterstützen wolle.

Deshalb würde man gerne einen - wohlgemerkt nicht öffentlichen - Brief dagegen an Bundestagsabgeordnete schreiben. Ob wir da nicht mitzeichnen wollen.

Die müssen langsam ziemlich verzweifelt sein, wenn sie schon ihre natürlichen Feinde auf der einen Seite um Unterstützung gegen den natürlichen Feind auf der anderen Seite bitten.

Man fragt sich erstens: Warum wollten die diese Aktion im Geheimen machen? Weil die Öffentlichkeit sie sonst auslacht?

Und zweitens: War das die Idee eines einzelnen, hirnverbrannten Lobbybobbies, der ohne Rücksprache mit der Obrigkeit eine solche Nummer vollzieht und sich dachte: Na der Feind meines Feindes ist bestimmt mein Freund?

Jedenfalls beruhigend, wie es mit Facebook bergab geht.

Permalink

Demokratie in Gefahr durch Fake-Kommentare

Interessanter Kommentar von Bruce Schneier zum Thema Fake-Kommentare. In dem hier berichteten Fall wurde wohl versucht, die Haltung zum Thema Netzneutralität zu beeinflussen. Millionen von Fake-Kommentaren im Internet vertraten eine Meinungswelle, die sich selbstverständlich NICHT wünschen, dass es Netzneutralität gäbe. Was inhaltlich hanebüchen und absurd ist. Und dieser Betrugsversuch ist auch aufgrund anderer, eher technischer Unzulänglichkeiten aufgeflogen. Aber er verdeutlicht ein generelles Problem mit Fake-Kommentaren:

When the floodgates open, democratic speech is in danger of drowning beneath a tide of fake letters and comments, tweets and Facebook posts. The danger isn’t just that fake support can be generated for unpopular positions, as happened with net neutrality. It is that public commentary will be completely discredited.

Es ist ein Problem, wenn sich Entscheider - egal in welchem Bereich, ob Politik, Unternehmen, Gesetzgebung - von solchen Fake-Menschenmassen beeinflussen lassen.

Es ist aber noch ein ganz anderes Problem, wenn die Fake-Menschenmassen am Ende dazu führen, dass "echte" Menschenmassen nicht mehr gehört werden, weil immer der Verdacht existiert, dass die "echten" Menschenmassen Fake-Massen seien.

Permalink

Google scheint AMP-Priorisierung zu entfernen

Ausnahmsweise mal eine positive Meldung!

AMP (ursprünglich kurz für Accelerated Mobile Pages) ist ein HTML-Framework, das von Google entwickelt wurde. Sinn der Sache war, Websites für mobile Endgeräte zu optimieren - sowohl hinsichtlich der Komplexität als auch der Bandbreite. Im Grunde definiert das Framework abgespeckte Websites, die auf Handys besser funktionieren sollen.

Problem an der ganzen Sache war: Google sorgte dafür, dass Websites, die AMP implementieren, eine bevorzugte Behandlung auf den Suchergebnisseiten erhalten. Was natürlich eine Art technischer Geiselnahme ist:

There’s been a lot of antitrust scrutiny on Google and it may have played a role in this change of heart. AMP put Google in control of the web and of what a website can be. Google put themselves in between the visitor and the site. It took control and independence away from sites that felt forced to use Google AMP.

Über die Sinnhaftigkeit und Qualität von AMP wurde gestritten, und es gibt meines Erachtens  bessere und einfachere Wege für die Mobil-Optimierung, aber die eigentliche - zunächst mal mit Vorsicht zu genießende - gute Nachricht ist, dass Google diese Priorisierung wieder aufhebt.

Permalink

Social Media-Überwachung in den USA

Hab ich doch neulich rumgejammert wegen erweiterter Überwachungsbefugnisse des Verfassungsschutzes.

Die Kollegen aus den USA sind da schon weiter - mit rechtlichen Fragen setzen die sich gar nicht mehr auseinander. Die machen einfach.

The goal is to build a warning system to detect the sort of posts that appeared to predict an attack on the U.S. Capitol on Jan. 6 but were missed or ignored by law enforcement and intelligence agencies, the officials said.

Angeblich schauen sie nur öffentlich einsehbare Beiträge auf den Plattformen an. Muss man denen natürlich nicht abkaufen.

Und natürlich schauen sie auch nicht auf die einzelnen Aufmucker, sondern nur auf die allgemeine Stimmungslage:

"We're not looking at who are the individual posters," said a senior official involved in the effort. "We are looking at what narratives are resonating and spreading across platforms. From there you may be able to determine what are the potential targets you need to protect."

Muss man denen natürlich auch nicht abkaufen.

Wie immer wird ein unschönes Ereignis - in diesem Fall der Sturm aufs Kapitol - genutzt, um die Überwachungsbefugnisse und Techniken noch weiter auszuweiten und zu verfeinern. Bei uns läuft das ja genauso.

Nun lass mal wieder einen Trump am Ruder stehen, so unrealistisch ist das ja nicht: Was der mit diesen "Sicherheitsmechanismen" so alles anstellen könnte? Jeglichen Widerstand gleich im Keim ersticken, andersartige Meinungen weglöschen, individuelle Poltergeister verschwinden lassen. Tolles Werkzeug für Autokraten.

Es gibt durchaus noch Leute in den USA, die erkennen, dass Überwachungsmaßnahmen dieser Art völlig sinnlos sind und die wirklichen Gefahren oder potenzielle Gewalttäter dadurch überhaupt nicht zu erkennen sind.

"Internal government reviews have repeatedly raised concerns about the usefulness of wide-ranging collection of social media information, but agencies keep barreling forward, wrongly assuming that its benefits must outweigh its costs," said Hugh Handeyside, a senior staff attorney with the American Civil Liberties Union in Washington.

"People say inflammatory stuff on social media, but as an empirical matter, that speech isn't a valid or reliable predictor of violent conduct," he said.

Aber genauso wie unseren Herr Frei samt Kohorte ficht auch das DHS die Unwirksamkeit dieser Maßnahmen nicht an, es wird munter weiter sinnbefreit überwachungsfortgeschritten.

Permalink

[Ältere Beiträge im Archiv]