Politik

Seit einiger Zeit hat der SPD-Politiker Jörg Tauss ja ein kleines Problemchen.

Nach seiner eigenen Aussage hat er sich in das betreffende Klischee begeben um dort Informationen zu erhalten und Vorgänge zu verstehen. Ich glaube ihm das sogar. Es ist auch sehr alleinstellen, dass einPolitiker Dinge über die er redet vorher verstehen will. Andere machen erstmal wirre Gesetzentwürfe die vielleicht Wahl-wirksam sind aber sicher nicht das Problem bekämpfen.

Was mich an der Geschichte aber am meisten fasziniert ist der Zusammenhang zu dem in aller Welt propagierten Ausschluss der sozialen Reintegration von Sexualstraftätern. In den USA ist es von öffentlicher Seite so geregelt, in Deutschland machen das die Medien (mit freundlicher Unterstützung der beteiligten öffentlichen Zuständigen): Ein Straftäter, der eine Sexualstraftat begangen hat und seine Strafe ordnungsgemäß verbüßt hat, soll sich bitte nie wieder sozial integrieren können. So die indirekte Forderung. Lebenslanger Pranger ohne Möglichkeit der Befreiung daraus.

Sollte Jörg Tauss aus der Nummer jetzt nicht mehr herauskommen (was ich für sehr realistisch halte) und für diese Sache eine Strafe verbüßen, dann gelte für ihn eigentlich dasselbe. Schließlich könnte ja jeder kommen und behaupten, er habe nur recherchiert. Es wird eine ganze Menge Leute geben, die diese Ausrede nicht gelten lassen.

Wäre es zu viel verlangt, dass man angesichts solcher eigentlich offensichtlichen Grenz- bzw. Streitfälle vielleicht doch darüber nachdenkt, dass auch wegen solchen Delikten Verurteilte vielleicht nach Ableistung der verhängten Strafe eine Möglichkeit zur Resozialisierung haben sollten?
Vermutlich schon.

Heute bzw. gestern Abend kamen mal wieder ein paar Artikel zum geplanten E-Mail-Dienst des Innenministeriums namens »DE-Mail« in der Onlinepresse.

Kurz gefasst denke ich, dass dieses Projekt das Potenzial hat, sich in eine Reihe unrühmlicher Geldgräber einzugliedern.

Besonders gefallen hat mir der Heise-Artikel dazu. Ich möchte mal etwas pedantisch auf ein paar Abschnitten herumreiten:

Schallbruch teilte auch die Kritik aus dem Bereich der kommunalen Anwender des OSCI-Standards (Online Services Computer Interface) nicht, wonach auf dieser Basis bereits Möglichkeiten zum verschlüsselten E-Mail- und Dokumentenversand über gängige Mail-Adressen bestünden. Dafür bräuchte es bei allen Kommunikationspartnern komplizierte Verschlüsselungsarchitekturen. Beide Seiten müssten auf ihrem eigenen PC einen OSCI-Client installieren, wobei keiner für die Systemsicherheit bürgen könne.

Der neue Dient wird also »sicher«. Absolut sicher. Schließlich verbürgt sich da jemand dafür. Ich frage mich nur: Wer? Wenn ich den Dienst nutze und ein Sicherheits-Problem auftritt. Wer zahlt mir dann eine Entschädigung? Der Bund? Die beteiligten Firmen? Der Vorstandsvorsitzende der verantwortlichen Firma? Oder ist diese Art des Verbürgens vielleicht eher sowas wie: »Wenn es ein Problem gibt, werden wir aber ganz energisch mit dem Zeigefinger fuchteln bis jemand sagt, dass wir das in Zukunft besser machen«?

Zugleich verwies der IT-Direktor auf hohe Kostensenkungseffekte. Wenn allein acht Prozent des derzeitigen Postverkehrs über das neue Verfahren abgewickelt würden, könnten die Absender eine Milliarde Euro Porto sparen. Dieser Summe stünden Aufwendungen für den Aufbau der Kommunikationsinfrastrukturen gegenüber.

Okay, auch wenn wir mal annehmen, dass mit dieser vorsichtigen Formulierung nicht ausgeschlossen werden soll, dass die Milliarde sofort wieder in die Kommunikationsinfrastruktur gepumpt wird, dann verliert die Post also eine Milliarde (in einem nicht genannten Zeitraum, möglicherweise pro Jahr). Diese Milliarde wird dann also als Finanzhilfe wieder investiert weil es dem Konzern dann plötzlich schlecht geht wenn keiner mehr Briefe verschickt. Ergo: Milchmädchenrechnung.

Aber das sind ja Details. Richtig schlecht wird mir dann bei sowas:

Die ganzen Sicherheitsmechanismen sollten beim Provider im Hintergrund ablaufen, um die Nutzung so einfach wie möglich zu machen. So sei dort etwa eine Kontrolle auf Schadsoftware und eine Versandberechtigung, die Integritätssicherung über eine Prüfsumme, die Verschlüsselung über S/MIME und eine Ergänzung von Metadaten durchzuführen.

Bitte nochmal langsam lesen.
Ja, die begründen ihre Sicherheit wirklich damit, dass beim Provider die Daten verschlüsselt werden. Damit der seine Daten dort eintragen kann wird dann vermutlich eine normale end-to-end-Verschlüsellung nicht vorgesehen werden oder wie? Zudem: Schadsoftware? Hieß es nicht eben noch, der Dienst sei spamfrei? Ist er vielleicht nur ein bisschen spamfrei?

Seit langem sind mir Besucher-Tracker ein Dorn im Auge. Daher sind Domains wie www.etracker.de und google-analytics.com seit einiger Zeit bei mir im lokalen DNS-Server gesperrt, so dass diese aus meinem lokalen Netz nicht mehr aufgerufen werden können.

Leider wird grade etracker oftmals so penetrant eingesetzt, dann man einfache Unterseiten oder Downloads nicht mehr aufrufen kann, wenn deren Seite nicht mehr erreichbar ist.

Daher habe ich mir jetzt einen lokalen "Proxy" für dieses Problem erstellt. Das Setup ist simpel:

• Ein lokaler DNS-Resolver wird so konfiguriert, dass er für den betreffenden Host die Adresse eines eigenen Webservers zurückliefert.


• Der Webserver erhält einen neuen VHost, der für die Hostnames der betreffenden Websites verantwortlich ist.


• Ein CGI-Script liest die URL aus dem Aufruf-Parameter und sendet eine Weiterleitung an die betreffende Adresse ohne dass irgendwelche Statistiken zentral gespeichert werden.

Nachfolgend meine dafür verwendeten Konfigurationen und Scripte.

Ich habe dazu folgende Quellen in den letzten Tagen zufällig gefunden...
Auf Heise.de einen Artikel, in dem die Speicherdauer bei YouTube thematisiert wird:

YouTube lösche üblicherweise nach sieben Tagen die IP-Adressen der Rechner, von denen Dateien in das Internetportal eingestellt werden.

Dazu ein weiterer Heise-Artikel, der die IP-Adressen-Speicherung bei der Suchmaschine von Google behandelt:

Der Suchmaschinenbetreiber Google will die Haltedauer für die IP-Adresse bei Suchanfragen bis Ende September von bisher 18 auf künftig neun Monate reduzieren, danach werden die Anfragen anonymisiert.

Besonders nett ist natürlich die Begründung dieser neun Monate Speicherung in eben letzterem Artikel:

Laut dem Datenschutzbeauftragten des Konzerns, Peter Fleischer, sucht Google die Balance zwischen dem Datenschutz auf der einen Seite und den Interessen von Google auf der anderen. Letztere bestehen darin, die eigenen Dienste kontinuierlich zu verbessern und gegen Missbrauch und Angriffe zu schützen [...] (Hervorhebung von mir)

Missbrauch und Angriffe sind bei jedem Server und jedem öffentlich zugänglichen Angebot natürlich immer eine Möglichkeit. Daher habe ich an der einwöchigen Speicherung von IP-Adressen bei YouTube noch nichtmal grundlegend etwas auszusetzen. Ich finde es nicht gut, aber es tanzt nicht aus der Reihe anderer ("normaler") Websites.

Anders dagegen die Speicherung bei der Suchmaschine. Eine Internet-Suche hat ein für mich schwer erkennbares Missbrauchspotenzial. Auf YouTube kann man eigene Mediendaten hochladen, dabei sowohl bzgl. Urheberrecht als auch bzgl. Beleidigungen und ähnlichem unschöne Dinge tun. Durch eine Internet-Suche bei Google kann man... Nun, mir fällt jetzt nicht direkt etwas ein. Die Features der Suchmaschine halten sich derart in Grenzen, dass ich XSS (die sich aber durch IP-Adressen gar nicht wirklich verfolgen lassen) und vergleichbare Sicherheitslücken sicher ausschließen kann. Ebenso SQL-Injections. Ein einziges Eingabefeld lässt sich mit vertretbarem Aufwand gegen alle bekannten Sicherheitsprobleme absichern. Zumindest ungleich einfacher als die Features von YouTube.

Warum also begründet Google die Protokollierung von Suchanfragen damit, dass man auch ein Dreivierteljahr später noch wissen muss wer was gesucht hat um "Missbrauch und Angriffe" zu erkennen?

Im Gegenzug frage ich mich, warum ist dies bei YouTube anders? Warum ist das Hochladen und Veröffentlichen bei YouTube kein so großes Sicherheitsrisiko wie das Stellen einer Suchanfrage bei Google?

Ich finde das Schizophren und die Begründung mit der Sicherheit ist Heuchelei.
Bei uns wird normalerweise keine IP-Adresse gespeichert. Kunden können auf Wunsch Logfiles über maximal 10 Tage erzeugen. Wenn nicht explizit vom Betreiber aktiviert, dann auch das ohne IP-Adresse.

Die Webhostlist (ja, ohne Link. Jeder kann .de dahinter setzen, wenn er will) ist ein Web-Portal, auf dem Angebote von Providern und Gesuche von zukünftigen Kunden zusammen finden sollen. Ein ganz normaler Preisvergleich bzw. Kleinanzeigenmarkt.

Dafür gibt es zwei Kanäle: Das Angebotlisting, in dem jeder Provider seine Angebote einstellt und Kunden nach diversen Kriterien suchen können auf der einen Seite und das Forum auf der anderen Seite. Im Forum stellt ein Kunde seine Anforderungen ein und Provider können mit einem Angebot antworten. nicht selten führt das zu skurrilen Dingen wie "Suche Webspace mit Feature foobar." mit der Antwort "biete das zwar nicht an, aber vielleicht ja was anderes was dich interessiert".

Als wichtige Bemerkung sei noch eingeführt, dass Provider bei Webhostlist unterschiedlichen Status haben können. Ungeprüft ist man immer als erstes. Wenn man dann viel Geld zahlt (ich weiß viel ist relativ), wird man Geprüfter Provider. Dazu muss man eigentlich nichts weiter machen als Geld zu zahlen. Zahlt man dann noch mehr Geld, wird man sogar Premium-Provider. Bisher war der Mehrwert darauf begrenzt, dass neben den Angeboten ein hübsches goldenes Emblem gezeigt wurde, das dem Kunden versichert, dass der Provider auch wirklich Geld an Webhostlist gezahlt hat.

Die zahlenden Provider haben sich (mittlerweile erfolgreich) beschwert, dass das Geldausgeben nur für ein hübsches Bildchen vielleicht nicht ganz gerechtfertigt ist.

Daraufhin wurde folgendes Umgestellt:
Wer ein Gesuch in das Forum einstellt, muss Daten-Striptease betreiben. Webhostlist fordert eine vollständige Adressangabe, anfangs sogar zwingend mit Telefonnummer. Gleichzeitig kann der Suchende auswählen, welcher Provider-Typus seine Daten und sein Gesuch sehen kann. Standardeinstellung ist (*Tusch*) zahlender Geprüfter Provider.
Die Webhostlist begründet das unter dem Applaus einiger zahlender Provider damit, dass man ja auf seriöse Geschäftsbeziehungen setze und daher die Angabe einer Identität verlangt werden könne. Zudem möchten Anbieter auch wissen, wem sie eventuell kein Angebot mehr machen möchten, wenn die den Namen schon kennen. Nun ja.
Ein Foren-Teilnehmer hat das treffend umschrieben mit der Pflicht, bei jedem Geschäft einer Einkaufspassage immer vor jedem Betrachten des Schaufensters eine Visitenkarte abgeben zu müssen.

Klar, so schlägt man zwei Fliegen mit einer Klappe: Es wird für alle Datenkraken-Provider sehr interessant, viel oder sehr viel Geld an Webhostlist zu zahlen, denn dafür bekommt man jetzt zuverlässig neue Adressen für seine Verbraucherinformationen. Webhostlist bekommt also mehr zahlende Kunden. Auf der anderen Seite werden die Adressen ja gespeichert und somit reiht sich Webhostlist nahtlos in die Liste der in den letzten Jahren stark an Wert gestiegenen Unternehmen mit vielen "Benutzerprofilen", in welcher Form auch immer.

Die vielen Forums-Beiträge, die diese Regelung als kompletten Unsinn bezeichnet haben, wurden konsequent ignoriert, was natürlich auch irgendwie aussagt, dass diese Regelung wohl nicht mit guten Argumenten belegt werden kann.

Die komplett sinnbefreite Kompromisslösung, die jetzt angestrebt wird (oder schon implementiert ist), sieht vor, dass der Anbieter erst nach Abgabe eines Angebots die Kontaktdaten des Interessenden sieht. Wie man das überhaupt irgendwie begründen kann, ist mir noch nicht eingefallen.



Als weitere Veränderung (da weiß ich aber nicht seit wann) gibt es bei der Suche nach Webhosting-Tarifen jetzt auch keine Möglichkeit, die nicht-zahlenden Provider überhaupt anzuzeigen. Erst nach Erhalt der Ergebnis-Liste kann man die Suchergebnisse auf nicht-zahlende Provider ausdehnen. Und diese Einstellung springt meiner Erfahrung nach manchmal etwas willkürlich wieder auf die Standardeinstellung zurück.

Was ich damit sagen will: Jeder, der über Webhostlist einen Provider sucht, sollte sich darüber im Klaren sein, dass er immer erstmal nur Angebote von Firmen bekommt, die der Webhostlist Geld bezahlt haben. Auch wenn die Webhostlist sich nach außen als kostenlos für beide Seiten kommuniziert. Und dass im Forum nun die Angabe falscher Daten zur Regel wird, ist (denke ich) auch klar.

Mit unserer Firma bin auch ich direkt von der Vorratsdatenspeicheurng betroffen. Bei allem Aktivismus und berechtigter Kritik an der ganzen Sache, darf man aber meines Erachtens trotzdem die geltenden Gesetze nicht einfach ignorieren sondern jetzt, da das alles gilt, muss man es auch erst einmal beachten. Natürlich in der Hoffnung, dass das Bundesverfassungsgericht das alles wieder kippt.

Ich habe heute ungelogen einen Tag damit verbracht, das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007" zu finden, zu lesen, die Bezüge zu recherchieren, herauszufunden was uns als E-Mail-Provider betrifft und das alles zu verstehen.

Ich möchte gerne die stellen aus den Gesetzen zitieren, die ich persönlich als einschlägig betrachte. ausdrücklich möchte ich darum bitten, dass jeder, der irgend etwas anders verstanden hat, also denkt, ich hätte etwas falsch aufgefasst oder übersehen, mir das bitte mitteilt. Zudem ist hoffentlich klar, dass von mir zu diesem Thema gegebene Kommentare jeglicher juristischer Sachkunde entbehren und die Gesetzes-Auszüge sich nicht eignen um sich darauf zu verlassen. das ist hier keine Rechtsberatung und so, klar.

ich verlinke an einigen Stellen zu www.gesetze-im-internet.de. Dort ist jetzt momentan noch die alte, nicht mehr gültige Version der Gesetze zu begutachten, das eignet sich aber gut um das Fließtext-Diff in oben verlinkter PDF-Datei darauf anzuwenden.

Telepolis brachte heute einen Artikel über den von Innenminister Schäuble vorgeschlagenenen Umgang mit Verdächtigen des Terrorismus. Nun, natürlich ist "Terrorismus" im Schäuble-Slang nicht ganz das was man naiver Weise erwarten würde, aber die Kernaussage ist doch sehr einfach:

Diejenigen, die sagen, Guantanamo ist nicht die richtige Lösung, müssen auch bereit sein, darüber nachzudenken, was die bessere Lösung ist, denn allein mit der Kritik ist kein Problem gelöst.

Nette Einstellung, Herr Schäuble...

Für mich persönlich ist es ja sehr ungewöhnlich, dass ich überhaupt öffentlich eine politische Meinung äußere, aber das hat unser Innenminister geschafft. Jetzt, da eigentlich jeder des Terrorismus verdächtigt wird und des Terrorismus Verdächtigte nach Guantanamo kommen sollen, da mag sogar ich ein bisschen Stellung beziehen.

Was mich an der ganzen Debatte am meisten wundert ist, wie andere CDU-Politiker mit der Situation umgehen. Mir ist bisher einfach komplett rätselhaft, wie es ein normaler Mensch aushalten kann, ständig in einen Topf mit Schäuble geworfen zu werden. Und was ist mit der SPD? Stört es dort niemanden, dass hier dank Koalition alles auf alle projeziert wird, was Herr Schäuble sagt? Ich bin ziemlich perplex über das Schweigen sämtlicher Personen, die sich mit dieser Politik identifizieren müssten.

Natürlich sollte in einer Koalition oder innerhalb einer Partei nicht jede Meinungsverschiedenheit öffentlich ausgetragen werden, das hat Frau Merkel korrekterweise mehrfach betont und offenbar auch im Griff. Aber wenn es einen gewissen Gegenpol gibt, sollte das die Öffentlichkeit mitbekommen. Da sie das nicht tut, nehme ich an, so einen Gegenpol gibt es nicht. Irgendwelche Basis-Grünen machen immer wieder etwas Wirbel ohne dass das jemanden interessieren würde (noch nichtmal die ganze Partei bezieht Stellung!), lediglich die FDP bekennt sich immer wieder (mehr oder weniger) geschlossen gegen diesen Wahnsinn.

Leute, es ist zwar noch etwas hin, aber bedenkt mal, dass man Vertrauen nicht mal eben in einem Wahlkampf erreicht. Würde sich bitte wenigstens irgend eine Partei mal auf den Weg machen, das Vertrauen derer zu gewinnen, die da nicht mitmachen wollen? Danke.

Und nein, das was sich Herr Schäuble als Wir-schützen-die Bevölkerung-Politik vorstellt schafft nicht wirklich Vertrauen!

Jeder, der den Titel dieses Blogpostings oder Teile daraus liest, schreibt oder danach sucht, ist ein Schwerverbrecher, Terrorist, Journalist oder freier Mensch. Egal was davon: Er gehört gefunden, inhaftiert, exekutiert und vor allem überwacht und reglementiert.

So in etwa muss man sich das meiner Meinung nach in der Praxis vorstellen, was EU-Kommissar Franco Frattini momentan ausbrütet.

Golem berichtet:

Der für Justiz und Sicherheit zuständige EU-Kommissar Franco Frattini will prüfen, wie mit technischen Mitteln verhindert werden kann, dass Menschen "gefährliche Worte" wie beispielsweise "Terrorismus" oder "Bombe" im Internet benutzen oder nach diesen suchen.

Mein Vorschlag: Das deutsche Innenministerium soll den angeblich einsatzbereiten Bundestrojaner mit all seinen Eigenschaften (auf jedes System installierbar, nicht entdeckbar, ...) für teuer Geld an die EU verkaufen. Über diesen kann die EU dann jeden identifizieren der solch böse Sachen macht.
Dann kann Herr Schäuble das vorauszusehende Nichtfunktionieren auf die Unfäghigkeit der EU-Ermittler schieben und den Inlandseinsatz klammheimlich abblasen.

Alle wären fein raus und die Steuerverschwendung wäre auf die ganze EU verteilt.

Ich denke, dass das Innenministerium diesen Vorschlag durch heimliche Bespitzelung meiner Blog-Besucher bestimmt finden wird.

OpenHBCI heißt heute AqBanking und unterstützt sicheres Onlinebanking über HBCI unter allen mir wichtigen Betriebssystemen.

Leider war es bis dato nicht möglich, Volksbank-Karten "VR-NetWorld"-Karten damit zu benutzen, da der Hersteller die Spezifikationen streng unter Verschluß hielt.

Seit Ende letzten Jahres verteilt die Volksbank neue Karten mit einem "SECCOS"-Chip. Dafür gibt es Spezifikationen. Allerdings ist der Hersteller nicht gewillt, diese allgemein zugänglich zu machen oder eine Lizenz für Programmierer springen zu lassen.

Kostenpunkt: ~120 Euro

Martin Preuss (AqBanking-Chef) hat angekündigt, dass er das gerne implementieren mag, er aber als nicht-Volksbank-Kunde nicht gewillt ist, diesen Betrag der Community zu spendieren. Klar. :)

Auf der Aqbanking-devel-Mailingliste haben sich mittlerweile ein paar Leute gefunden, die sich an der Finanzierung der Specs beteiligen möchten. Mich eingeschlossen.

Ich rufe hiermit dazu auf, dass die Leute, die auch ein Volksbank-Konto mittels freier Software nutzen möchten, sich mit einer kleinen Spende beteiligen!

Kontodaten gibt's auf aqbanking.de.


UPDATE 2007-12-10: ich nehme diesen Aufruf zurück. Eine Begründung gibt's hier.

Hab grade diesen hochinteressanten Artikel auf Telepolis gelesen.