Der Bundesnachrichtendienst sucht...

... junge, formbare, gehorsame, wahlweise skrupellos veranlagte oder intellektuell eingeschränkte Absolventen-in-spe, die für den Staat hacken wollen. Gibt eine schöne Stellenausschreibung (hier noch Archiv-Verlinkung, falls die Anzeige mal offline geht), die ich an dieser Stelle mal zitieren will:

Ihre Aufgaben:

  • Entwicklung und Programmierung einzigartiger, individuell entwickelter Werkzeuge zur Aufklärung und Informationssammlung von Computersystemen, Netzwerken und mobilen Endgeräten
  • Entwicklung und Erprobung neuer Verfahren und Methoden im Bereich Cyber Intelligence
  • Software Reverse Engineering von quellenoffener und nicht quellenoffener Software
  • Analyse von Schwachstellen in Programmen und Betriebssystemen

Viel deutlicher kann man wohl kaum darlegen, dass man irgendwen - mutmaßlich die eigene Bevölkerung/Wirtschaft und/oder ausländische Bevöklerung/Wirtschaft/Regierungen - durch das Ausnutzen von Sicherheitslücken, das Entwickeln von Schadsoftware und das Eindringen in fremde Systeme durchleuchten und/oder sabotieren will.

Zum Thema Gehalt: TVöD E10 Stufe 1 = 3,4k + "bis zu 1.000 EUR" IT-Zulage = 4,3k, plus noch kleine Sonderzulagen - sagen wir, man landet bestenfalls bei 4,5k/Monat (realistisch gesehen eher weniger).

Als Einstiegsgehalt ist das in der Security-Branche schon mal unterdurchschnittlich. Und hintenraus wird's nicht viel Bewegung geben, erstrecht nicht, wenn man keine Beamtenlaufbahn einschlagen will. Und dafür wollt ihr eure Seele verkaufen?

Ich hoffe nur, dass die wirklichen Talente da draußen genug Hirnschmalz und Stolz besitzen, und sich nicht auf so einen Pakt einlassen.

Permalink

Online-Spieleplattformen versus DSGVO

Dem vorherigen Beitrag zum Thema Datenschutz und Computerspiele folgend, werfe ich mal die Frage in den Raum (und versuche, sie mir gleich selbst zu beantworten), wie denn eigentlich die Lage ist in Bezug auf Steam, Epic & Co., was Datenschutz und Privatsphäre angeht.

Es gibt ja einige Online-Verkaufsplattformen für Software, die von deutschen Konsumenten schon seit Anbeginn genutzt werden.

Und da fragte ein Bekannter, ob Steam (im Folgenden stellvertretend für alle Plattformen dieser Art genannt) jetzt nach dem aktuellen Stand der DSGVO und dem Fall des Privacy Shield, erstrecht aber vor dem Hintergrund des Cloud Act, noch benutzbar wären, oder ob die Läden ihre Aktivitäten in Europa nicht einstellen müssten.

Diese Frage würde ich grundsätzlich mal so beantworten: Ja, durchaus dürfen die auch weiterhin ihre Geschäfte hier bei uns machen. 

Knackpunkt an der Stelle ist meines Erachtens euer explizites, hoffentlich informiertes und dokumentiertes Einverständnis zur Verarbeitung der personenbezogenen (und anderen) Daten, das ihr beim Eröffnen und durch das wiederkehrend eingeholte Einverständnis nach Änderungen eines Steam-Kontos gegeben habt. Es kommt zu einem Vertragsabschluss mit dem Unternehmen Valve, das seinen Sitz in den USA hat. In den Vertragsklauseln ist beinhaltet, dass ihr zustimmt, dass US-Recht gilt. 

Ich gehe davon aus, dass so ziemlich jeder Änderung der Terms Of Service mitsamt möglicherweise geänderten Datenschutzbestimmungen von den Usern zugestimmt wird. Denn das Ablehnen hätte im Endeffekt zur Folge, dass euer Steam-Account geschlossen wird und ihr sämtliche Nutzungsrechte an den im Account enthaltenen Spielen verliert.

Und dass diese Geiselhaft zumindest technisch legal ist, daran habe ich aktuell auch keinen Zweifel, denn sonst wäre das todsicher schon mal vor Gericht verhandelt worden.
Einen Ausweg aus dem Dilemma, bei dem ihr die Spiele behalten dürft, aber Steam den Rücken zukehrt, gibt's also nicht. Bleibt nur die Entscheidung: 

a) Beiße ich in den sauren Apfel, schmeiße meine Steam-Bibliothek weg und kaufen zukünftig nur noch bei GOG oder im Laden ein? 

b) Oder nehme ich in Kauf, dass Steam im Prinzip mit meinen aktuellen und mit zukünftig vielleicht noch viel intensiver erhobenen Daten machen kann, was es will?

Blöde für die, die buchstäblich Tausende investiert haben in die Steam-Bibliothek. Bei mir hat sich da über die Jahre auch ein (niedrig vierstelliger) Betrag angesammelt. Und das war dumm und kurzsichtig von mir, ich bin da voll in die Falle getappt, weil Steam so convenient war (und auch immer noch ist).

Muss noch ein bisschen mehr rumklicken und date vielleicht noch mal up mit ergänzenden Informationen.

Permalink

Datenschutz in Computerspielen

Ich bin seit den späten 80ern ein begeisterter Computerspieler. Computer im klassischen Sinn, bei Konsolen habe ich mich immer schwer getan, das ist nicht so meine Welt. Im Haushalt haben wir trotzdem welche, denn andere Familienmitglieder können damit mehr anfangen.

Es ist heutzutage äußerst selten, dass man noch Videospiele findet, die sich nicht mit dem Internet verbinden. Gut finde ich das nicht, insbesondere dann nicht, wenn es sich um Einzelspieler-Games handelt, die - abgesehen von der fragwürdigen Praxis der Post-Release-Patches - keinerlei Daten ins Netz senden oder aus dem Netz ziehen müssten.

Eine sehr große Zahl an Spielern beziehen ihre Produkte von Online-Plattformen; Steam, Epic, whatever. Und diese Unternehmen haben natürlich ein sehr starkes Interesse daran, Daten von Spielern zu erheben. Zu den simplen Auswertungen gehört etwa, wie lange Spiele gespielt werden, welche Genres man bevorzugt, was man für eine Hardware besitzt, welche Sprachversion aktiviert ist, zu welchen Zeiten man spielt, ggf. mit wem man zusammen spielt, wie oft die Nutzer online sind und wie lange, und noch viele Details mehr.

Das sind jetzt eher harmlose Datenpunkte. Schlimm genug, dass sie erhoben werden, aber in der Regel kann man davon ausgehen, dass diese Daten nur der Verkaufsförderung wegen ausgewertet werden.

Viel saftiger jedoch sind Daten, die auf die psychische Verfassung, Gesinnung, inhaltliche Vorlieben schließen lassen.

Ein Paradebeispiel: Grand Theft Auto

In diesem Spiel kann man eine ganze Menge anstellen. Unter anderem auch Sachen wie

... ihr versteht, worauf ich hinaus will.

Es gibt auch Spiele, in denen es nicht ums Töten geht, sondern in denen man Entscheidungen treffen muss, die soziale, politische, gesellschaftliche Aspekte beinhalten und entsprechende Auswirkungen haben. Civilization, Democracy, Rollenspiele, solches Zeug.

Tatsache ist: Menschen verhalten sich in Computerspielen anders als sie es in der echten Welt tun. Selbstverständlich lässt sich nicht ableiten, dass jeder, der in GTA ganze Straßenzüge in Schutt und Asche legt, auch in echt andere Menschen umbringt. Diese Debatte führen wir ja schon seit zwei Jahrzehnten.

Aber wenn man ein geltungssüchtiger Politiker ist, der Wahlkampf betreibt und einen Amoklauf zum Anlass nimmt, mal wieder so richtig aufzuräumen, könnte das zu unangenehmen Nebenwirkungen für Spieler führen. Nun stellt euch mal vor, aus euren Handlungen in der virtuellen Welt würde ein Profil eures Geisteszustands angefertigt. Nachdem ihr laut Achievement-Liste Morde in vierstelliger Anzahl angehäuft habt. Oder nachdem ihr die dunkle Seite in einem Starwars-Game gewählt habt. Oder ihr wart so frei, aus einem unerfindlichen Grund im Chat eines Online-Spiels dumme Sprüche über terroristische Aktionen zu machen, extreme politische Gesinnungen zu vertreten, Drogenkonsum vorzugaukeln, Selbstmord anzukündigen ... whatever.

Wisst ihr, wer all diese Daten sieht, auswertet und verwendet? Nein? Das sollte euch zu denken geben. 

Was nun wirklich konkret an Daten erhoben wird und in welchem Detailgrad, ist unklar.
Sicher könnt ihr euch sein, dass z.B. Achievements in Steam ein Datenpunkt sind, oder in GTA die statistische Erhebung von Daten wie Kills, Missionen usw. stattfindet - was ihr ja selbst einsehen könnt im Spiel.
Auch interessant dürfte sein, welche Verzweigungen in Storylines gewählt wurden, was auch wieder gewisse Rückschlüsse zulässt. Und so weiter und so fort.

Und wenn ihr denkt, dass sich eure Phantasie schon ausreichend üble Szenarien ausdenken kann, liegt ihr ziemlich sicher falsch. Es geht immer noch schlimmer.

One-player online games will also be subject to surveillance, as a new real-name mechanism is going to be implemented in China. Also, the new law will not allow for zombies and plagues, map editing, roleplaying, as well as organizing a union in games [...]

Überlegt euch gut, welche Daten ihr preisgebt, welche Spiele ihr spielt und welche Hersteller mitsamt den jeweiligen Datenschutz- und Geschäftsgebahren ihr damit unterstützt.

Und wer die Sache ernst nimmt, muss möglicherweise zukünftig davon Abstand nehmen, ein GTA zu kaufen. Denn Rockstar wird auch weiterhin und eher mehr, nicht weniger Daten von euch erheben (den Laden  nenne ich mal stellvertretend für die gesamte Spieleindustrie, weil Rockstar so erfolgreich ist).

Aber nun erklärt mal eurem Halbwüchsigen, dass er kein GTA spielen darf, obwohl es jeder andere in seiner Klasse tut. Weil ihr Datenschutz-Bedenken habt. LOL.

Ganz schöne Scheiße.

Permalink

Schau, schau, Schuschufa: Kontodaten vollständig auswerten

Die Schufa ist schon so ein Verein. Neulich haben sie versucht, mit Projekt E-Pool den Energieversorgern die Möglichkeit zur Erkennung von potenziell unliebsamen Kunden zu geben. Das ging aber aufgrund von Protesten zunächst mal in die Hose und wurde auf Eis gelegt.

Frei nach Ringelnatz: Als pompöse Datenschutzverstößer fanden sie die Erde noch viel größer: Man will nun wohl sämtliche Kontodaten von Kontobesitzern durchleuchten. Was man damit alles MACHEN könnte. Ein Datenschatz ohne Gleichen. Ein Pilotprojekt wurde mit O2 gestartet aber auch recht schnell wieder beendet, wie es scheint.

Doch nach Recherchen von NDR, WDR und Süddeutscher Zeitung ist das nur ein kleiner Ausschnitt großer Pläne. Wie aus internen Dokumenten hervorgeht, verfolgt die Schufa mit diesem Dienst offenbar das Ziel, einen detailgetreuen Einblick in Millionen Kontoauszüge zu bekommen. Dieses Wissen könnte möglicherweise in eine Art Superscore fließen. Zum Nachteil von Verbrauchern, wie Datenschützer fürchten.

Ich glaube, da fürchte ich dann mal mit.

Permalink

NoSurfList

Ich surfe viel durchs Netz. Ich bin ein News-Junkie. Und ich werde ungehalten, wenn man versucht, mir Sachen aufzuzwingen, die ich nicht leiden kann.

In der deutschen Medienlandschaft haben es einige von mir in der Vergangenheit öfter angesurfte Publikationen geschafft, auf meiner No-Surf-List zu landen. Ich habe beschlossen, diese No-Surf-List öffentlich zu führen, um Missstände aufzudecken.

Journalistische Qualität spielt an der Stelle gerade keine Rolle, denn die objektiv zu beurteilen fehlt es mir an Kompetenz. Es geht mir um Datenschutz- bzw. Tracking- bzw. Werbungs- bzw. Gängelei-Probleme, und die kann ich durchaus beurteilen.

Ich habe Websites auf dem Kieker, die mir aufzwingen wollen, dass ich Tracking, Cookies und Werbung zulasse, wenn ich deren Inhalte lesen will. Ich habe diese Publikationen in der Vergangenheit auch in diesem Blog verlinkt, aber das hört jetzt auf.

Los geht's:

Golem.de (Screenshot)
Dieser IT-Newsticker hat eine echt aufdringliche Lösung im Einsatz, die mich zwingt, beim kostenlosen Angebot allerlei Tracking und Werbung zuzulassen.

Zeit.de (Screenshot)
Vergleichbare Lösung wie Golem.de, angeboten von einem SaaS-Anbieter namens WebTrekk bzw. Mapp.

Spiegel.de (Screenshot)
Das selbsternannte Sturmgeschütz der Demokratie erzwingt Cookies und Tracking, funktional vergleichbar mit der Lösung von Zeit und Golem. Das Spiegel-Geschäftsgebahren steht einer demokratischen Teilhabe der Leser diametral entgegen.

Manager-Magazin.de (Screenshot)
Führe ich mal hier auf, weil der Laden ja der böse Zwilling von Spiegel.de ist - für mich größtenteils ohnehin noch nie ernsthaft lesbar gewesen, aber jetzt nicht mal mehr unernsthaft oder auszugsweise, nach Einführung des Cookie- und Tracking-Zwangs.

Gamestar.de (Screenshot)
Ach, schade. Hier war ich durchaus gern unterwegs. Siehe Spiegel.de, Golem.de, usw - gleiche Funktionalität bzw. Gängelei.

FAZ.net (Screenshot)
Andere Art von Cookie-Banner, die mir theoretisch noch die Wahl lässt, dieses oder jenes abzulehen. Da aber die Anzahl der Tracker, Cookies etc, die dringend abzulehnen wären, extrem hoch ist und ich nur mühsam jedes einzelne Item wegklicken kann, anstatt pauschal alles nicht Notwendige abzulehnen, ist auch hier nun Ende.

Positive Gegenbeispiele:

Wo Schatten ist, findet sich auch in der heutigen Zeit noch Licht. Ein paar Picks, die auf meinem Radar blinken, die nicht gängeln:

Die Liste wird sukzessive um Positiv- und Negativbeispiele erweitert und nach Möglichkeit aktuell gehalten.

Permalink

Vorausgefüllte Checkboxen: EuGH sagt nein

Immerhin eine kleine positive Zwischenmeldung: Der EuGH bestätigt, was ein gesunder Menschenverstand ohnehin als gegeben ansieht:

Checkboxen, die eine Zustimmung des Users zur Datenspeicherung einholen, dürfen nicht so voreingestellt sein, dass der User automatisch sein Einverständnis gibt. Er muss das selbst und aktiv und vollinformiert tun. Nicht nur dadurch, dass er einen irgendeinen Submit-Button drückt, ohne die verstecken Hinweise gesehen zu haben.

Permalink

Auch das noch: MS 365 doppelt karput

Also, dass ich kein Fan von Microsoft-Produkten bin, schon gar nicht aus Datenschutz-Sicht, dürfte den wenigen Lesern dieses Blogs schon bekannt sein.

Aber das hier ist schon noch ein Sahnehäubchen mit Extra-Lecker: Microsoft 365 scheint ein ausgezeichnetes Tool für Mitarbeiter-Überwachung zu sein.

Gibt u.a. offenbar einen Performance-Score, der anhand etwas eigenartiger Parameter die Produktivität eines Nutzers ermitteln soll.

Ein Podcast-Video von Microsoft offenbart außerdem Funktionen zur persönlichen Mitarbeiterüberwachung: Darin wird zum Beispiel für jeden Anwender vermerkt, an wie vielen Tagen er E-Mails und Yammer-Nachrichten verschickt sowie Chats und Nachrichtenkanäle genutzt hat. Das Video zeigt auch, an wie vielen Tagen er seine Mails mit Querverweisen auf weitere E-Mail-Adressen ergänzt hat.

Laut DGB ist ein rechtskonformer Einsatz der Software-Suite ausgeschlossen. War er vorher auch schon - Cloud Act sei Dank, aber doppelt hält besser.

Permalink

Persönliche Daten gegen Geld eintauschen

Mich fragte jemand, ob ich es für eine gute Idee hielte, dass man sich dafür bezahlen lässt, im Internet persönliche Daten herzugeben. Gewissermaßen als "digitale Dividende". Einfach mal teilhaben an dem ganzen Geldverdienen-im-Internet-Hype.

In dem konkreten Fall ging es um den Browser Brave. Der Hersteller verspricht hochheilig, die Privatsphäre der User zu schützen, Ads zu blocken - wenn man das will - und diejenigen durch monetäre Zuwendung zu belohnen, die die Darstellung von kuratierter, "ethisch vertretbarer" Werbung auf Websites zulassen.

Nun ist Brave ein Spezialfall - wenn man den Angaben des Herstellers glauben will. Weil der verspricht, dass auch bei der Anzeige von Werbung, für die man ja als User eine Gegenleistung erhält, keinerlei personenbezogene Daten an die Werbetreibenden fließen. Aber es geht mir auch nicht um diesen Spezialfall, sondern um das Thema Geld gegen Daten allgemein.

Der EFF hat dazu einen ausführlichen, lesenswerten Artikel, der viele wichtige Argumente gegen diese Datenprostitution versammelt.

TLDR: Der potenzielle monetäre Return für euch ist lächerlich, die Preisgabe eurer Daten unumkehrbar und der Vorteil liegt einzig bei den Datenkraken, die aus eurer Existenz Profit schlagen. Ihr könnt bei solchen Modellen unterm Strich nur verlieren, nicht gewinnen.

Permalink

So ein blöder Tele-Gram

Der Messenger Telegram, den Personen aus bestimmten Kreisen sehr gerne nutzen, wird von diesen als sicher empfunden und beworben. Auch sicher vor dem Zugriff durch Impferator Bill Gates und schnüffelnden Behörden, die Privatsphäre ausspionieren und ausrotten wollen.

Ich habe schlechte Nachrichten für die Nutzer dieses Dienstes.

Denn der Lieblingsabort der Corona-Leugner ist wahrscheinlich nicht ganz so abhörsicher und geheim wie man sich das wünscht.

Aber ich habe einen Tipp: Brieftauben. Die fliegen unter dem Radar, man kann geheime, verschlüsselte Alphabete nutzen, und die Vögel sind auch recht schnell. Je nach Entfernung zum Empfänger liegt die Latenz bei < 1 Tag. Die Viecher eignen sich sogar als Wertanlage - falls mal wieder eine Währungskrise ausbricht, hat man echt noch was in der Hand.

Anderen empfehle ich wahlweise einen eigenen Messenger-Dienst zu betreiben (z.B. Mattermost) oder wenigstens halbwegs ernstzunehmende Anbieter zu nutzen, z.B. Signal.

Permalink

[Update 22.11.2020] Facebook mag keine Schnüffelschaftler

Diese Facebook-Fieslinge, die mögen es gar nicht, wenn man ihnen an den Karren fährt. Die verbieten ein paar Forschern der New Yorker Uni (Twitter-Thread), mittels einem Projekt und Browser-Addon (Ad Observer) genauer zu untersuchen, wie es um die Inhalte von politischen Werbekampagnen bestellt ist.

Freiwillige Teilnehmer der Studie (und nicht wenige) wollten Daten sammeln, nämlich welche Anzeigen ihnen in ihren Facebook-Accounts ausgeliefert werden. Facebook passt das nicht, man hat Unterlassungsaufforderungen verschickt. Wahrscheinlich, weil sie u.a. dabei ertappt werden, dass politische Ads nicht immer als solche gekennzeichnet werden.

Und die Unterlassungsaufforderung wird hiermit begründet, ausgerechnet von dem Laden:

According to Facebook, Ad Observer compromises the privacy of Facebook’s users.

Achso.

Obwohl das Plugin (Source) gar keine personenbezogenen Daten erhebt sondern nur die Werbeanzeigen einsammelt und in einer öffentlichen Datenbank hinterlegt.

Scheint wohl eher so zu sein, dass diese Forschung in die Privatsphäre von Facebook eindringt.

Update 22.11.2020

Ein ergänzender Artikel von Cory Doctorow. Facebook scheint mit erheblicher Gewalt zu versuchen, jegliche weitere wissenschaftliche Arbeit zum Thema Facebook Ads zu unterdrücken.

Permalink