Bernds Blog

Heute bzw. gestern Abend kamen mal wieder ein paar Artikel zum geplanten E-Mail-Dienst des Innenministeriums namens »DE-Mail« in der Onlinepresse.

Kurz gefasst denke ich, dass dieses Projekt das Potenzial hat, sich in eine Reihe unrühmlicher Geldgräber einzugliedern.

Besonders gefallen hat mir der Heise-Artikel dazu. Ich möchte mal etwas pedantisch auf ein paar Abschnitten herumreiten:

Schallbruch teilte auch die Kritik aus dem Bereich der kommunalen Anwender des OSCI-Standards (Online Services Computer Interface) nicht, wonach auf dieser Basis bereits Möglichkeiten zum verschlüsselten E-Mail- und Dokumentenversand über gängige Mail-Adressen bestünden. Dafür bräuchte es bei allen Kommunikationspartnern komplizierte Verschlüsselungsarchitekturen. Beide Seiten müssten auf ihrem eigenen PC einen OSCI-Client installieren, wobei keiner für die Systemsicherheit bürgen könne.

Der neue Dient wird also »sicher«. Absolut sicher. Schließlich verbürgt sich da jemand dafür. Ich frage mich nur: Wer? Wenn ich den Dienst nutze und ein Sicherheits-Problem auftritt. Wer zahlt mir dann eine Entschädigung? Der Bund? Die beteiligten Firmen? Der Vorstandsvorsitzende der verantwortlichen Firma? Oder ist diese Art des Verbürgens vielleicht eher sowas wie: »Wenn es ein Problem gibt, werden wir aber ganz energisch mit dem Zeigefinger fuchteln bis jemand sagt, dass wir das in Zukunft besser machen«?

Zugleich verwies der IT-Direktor auf hohe Kostensenkungseffekte. Wenn allein acht Prozent des derzeitigen Postverkehrs über das neue Verfahren abgewickelt würden, könnten die Absender eine Milliarde Euro Porto sparen. Dieser Summe stünden Aufwendungen für den Aufbau der Kommunikationsinfrastrukturen gegenüber.

Okay, auch wenn wir mal annehmen, dass mit dieser vorsichtigen Formulierung nicht ausgeschlossen werden soll, dass die Milliarde sofort wieder in die Kommunikationsinfrastruktur gepumpt wird, dann verliert die Post also eine Milliarde (in einem nicht genannten Zeitraum, möglicherweise pro Jahr). Diese Milliarde wird dann also als Finanzhilfe wieder investiert weil es dem Konzern dann plötzlich schlecht geht wenn keiner mehr Briefe verschickt. Ergo: Milchmädchenrechnung.

Aber das sind ja Details. Richtig schlecht wird mir dann bei sowas:

Die ganzen Sicherheitsmechanismen sollten beim Provider im Hintergrund ablaufen, um die Nutzung so einfach wie möglich zu machen. So sei dort etwa eine Kontrolle auf Schadsoftware und eine Versandberechtigung, die Integritätssicherung über eine Prüfsumme, die Verschlüsselung über S/MIME und eine Ergänzung von Metadaten durchzuführen.

Bitte nochmal langsam lesen.
Ja, die begründen ihre Sicherheit wirklich damit, dass beim Provider die Daten verschlüsselt werden. Damit der seine Daten dort eintragen kann wird dann vermutlich eine normale end-to-end-Verschlüsellung nicht vorgesehen werden oder wie? Zudem: Schadsoftware? Hieß es nicht eben noch, der Dienst sei spamfrei? Ist er vielleicht nur ein bisschen spamfrei?

Seit langem sind mir Besucher-Tracker ein Dorn im Auge. Daher sind Domains wie www.etracker.de und google-analytics.com seit einiger Zeit bei mir im lokalen DNS-Server gesperrt, so dass diese aus meinem lokalen Netz nicht mehr aufgerufen werden können.

Leider wird grade etracker oftmals so penetrant eingesetzt, dann man einfache Unterseiten oder Downloads nicht mehr aufrufen kann, wenn deren Seite nicht mehr erreichbar ist.

Daher habe ich mir jetzt einen lokalen "Proxy" für dieses Problem erstellt. Das Setup ist simpel:

• Ein lokaler DNS-Resolver wird so konfiguriert, dass er für den betreffenden Host die Adresse eines eigenen Webservers zurückliefert.


• Der Webserver erhält einen neuen VHost, der für die Hostnames der betreffenden Websites verantwortlich ist.


• Ein CGI-Script liest die URL aus dem Aufruf-Parameter und sendet eine Weiterleitung an die betreffende Adresse ohne dass irgendwelche Statistiken zentral gespeichert werden.

Nachfolgend meine dafür verwendeten Konfigurationen und Scripte.

Heise Telepolis schreibt heute in einem Artikel über die Möglichkeiten des PIN-Abgriffs bei Lidl folgenden Absatz zur Biometrie:

Ob die von der ebenfalls im Videoüberwachungsskandal verwickelten Edeka-Kette als Lösung propagierten Fingerabdruckbezahlverfahren Abhilfe schaffen, ist mehr als fraglich. Tatsächlichen Sicherheitsgewinn brächte dagegen eine Umstellung auf die Erkennung des individuellen Venenmusters. In Japan wird dieses Verfahren bereits seit geraumer Zeit an Geldautomaten eingesetzt.

Ich sehe das aber sehr skeptisch. Vor der Zeit der elektronischen Datenbanken galten Fingerabdrücke als sehr sicher, ja es galt eigentlich sogar als ausgeschlossen, dass es da Verwechslungen gibt. Trotzdem denken wir heute, nach Beginn des allgemeinen Biometrie-Hype anders darüber. Die in immer größeren Stückzahlen hergestellten Fingerabdruck-Scanner erkennen nicht zuverlässig genug, Fingerabdrücke werden sowohl für die Aufklärung von mehr und weniger schweren Straftaten als auch für Lappalien wie Laptop-Zugangskontrolle verwendet.

Die Aussage von Heise Telepolis kann ich aber aus einem anderen Grund nicht wirklich unterstützen. Hier wird Biometrie empfohlen als Alternative zur anderer Biometrie. Meiner Ansicht nach, stellt sich momentan jede Biometrie als Passwort-Ersatz dar. Ob es gute Passwörter (Venenmuster, Iris-Scan) oder schlechte Passwörter (Fingerabdruck, Gesichtsmetriken) sind, spielt keine Rolle, es sind immer noch Passwörter.

Jedem Computer-Benutzer werden immer wieder 3 wichtige Grundregeln für die Verwendung von Passwörtern mit auf den Weg gegeben (zudem, dass man sich ein sicheres Passwort aussuchen soll):

1. Ändere dein Passwort gelegentlich
2. Sorge dafür, dass niemand dein Passwort herausfinden kann
3. Benutze für unterschiedliche Zugänge auch unterschiedliche Passwörter

Und diese drei Regeln lassen sich mit Biometrie nicht abbilden. Und zwar gleich welche Biometrie man nimmt. Man kann natürlich mehrere Merkmale unterschiedlich kombinieren, aber das ändert nichts am Problem.

Wir haben heute die Situation, dass jemand, der meinen Fingerabdruck reproduziert, damit bei Edeka einkaufen kann. Der CCC veröffentlichte jüngst den Bausatz mit Erklärung, wie man Fingerabdrücke sichert und reproduziert. Dass das ganze dann bei Edeka funktioniert ist ebenfalls bewiesen.

Es wird nicht lange dauern, bis es entsprechende Techniken gibt um Iris- oder Venenmuster zu reproduzieren. Wenn mein Bankkonto dann darüber geschützt ist, sehe ich wenig Handhabe über den Missbrauch, der damit möglich ist. Je sicherer eine Technologie in den Medien beschrieben wird, um so blinder ist das Vertrauen darin.

Die Frage, die ich den Verantwortlichen dabei gelegentlich mal stellen möchte ist: Wenn jemand mein Venenmuster reproduziert (und ich das merke), wie kann ich dann neue Zugangsdaten für mein Bankkonto erhalten?

Mit unserer Firma bin auch ich direkt von der Vorratsdatenspeicheurng betroffen. Bei allem Aktivismus und berechtigter Kritik an der ganzen Sache, darf man aber meines Erachtens trotzdem die geltenden Gesetze nicht einfach ignorieren sondern jetzt, da das alles gilt, muss man es auch erst einmal beachten. Natürlich in der Hoffnung, dass das Bundesverfassungsgericht das alles wieder kippt.

Ich habe heute ungelogen einen Tag damit verbracht, das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007" zu finden, zu lesen, die Bezüge zu recherchieren, herauszufunden was uns als E-Mail-Provider betrifft und das alles zu verstehen.

Ich möchte gerne die stellen aus den Gesetzen zitieren, die ich persönlich als einschlägig betrachte. ausdrücklich möchte ich darum bitten, dass jeder, der irgend etwas anders verstanden hat, also denkt, ich hätte etwas falsch aufgefasst oder übersehen, mir das bitte mitteilt. Zudem ist hoffentlich klar, dass von mir zu diesem Thema gegebene Kommentare jeglicher juristischer Sachkunde entbehren und die Gesetzes-Auszüge sich nicht eignen um sich darauf zu verlassen. das ist hier keine Rechtsberatung und so, klar.

ich verlinke an einigen Stellen zu www.gesetze-im-internet.de. Dort ist jetzt momentan noch die alte, nicht mehr gültige Version der Gesetze zu begutachten, das eignet sich aber gut um das Fließtext-Diff in oben verlinkter PDF-Datei darauf anzuwenden.

Telepolis brachte heute einen Artikel über den von Innenminister Schäuble vorgeschlagenenen Umgang mit Verdächtigen des Terrorismus. Nun, natürlich ist "Terrorismus" im Schäuble-Slang nicht ganz das was man naiver Weise erwarten würde, aber die Kernaussage ist doch sehr einfach:

Diejenigen, die sagen, Guantanamo ist nicht die richtige Lösung, müssen auch bereit sein, darüber nachzudenken, was die bessere Lösung ist, denn allein mit der Kritik ist kein Problem gelöst.

Nette Einstellung, Herr Schäuble...

Für mich persönlich ist es ja sehr ungewöhnlich, dass ich überhaupt öffentlich eine politische Meinung äußere, aber das hat unser Innenminister geschafft. Jetzt, da eigentlich jeder des Terrorismus verdächtigt wird und des Terrorismus Verdächtigte nach Guantanamo kommen sollen, da mag sogar ich ein bisschen Stellung beziehen.

Was mich an der ganzen Debatte am meisten wundert ist, wie andere CDU-Politiker mit der Situation umgehen. Mir ist bisher einfach komplett rätselhaft, wie es ein normaler Mensch aushalten kann, ständig in einen Topf mit Schäuble geworfen zu werden. Und was ist mit der SPD? Stört es dort niemanden, dass hier dank Koalition alles auf alle projeziert wird, was Herr Schäuble sagt? Ich bin ziemlich perplex über das Schweigen sämtlicher Personen, die sich mit dieser Politik identifizieren müssten.

Natürlich sollte in einer Koalition oder innerhalb einer Partei nicht jede Meinungsverschiedenheit öffentlich ausgetragen werden, das hat Frau Merkel korrekterweise mehrfach betont und offenbar auch im Griff. Aber wenn es einen gewissen Gegenpol gibt, sollte das die Öffentlichkeit mitbekommen. Da sie das nicht tut, nehme ich an, so einen Gegenpol gibt es nicht. Irgendwelche Basis-Grünen machen immer wieder etwas Wirbel ohne dass das jemanden interessieren würde (noch nichtmal die ganze Partei bezieht Stellung!), lediglich die FDP bekennt sich immer wieder (mehr oder weniger) geschlossen gegen diesen Wahnsinn.

Leute, es ist zwar noch etwas hin, aber bedenkt mal, dass man Vertrauen nicht mal eben in einem Wahlkampf erreicht. Würde sich bitte wenigstens irgend eine Partei mal auf den Weg machen, das Vertrauen derer zu gewinnen, die da nicht mitmachen wollen? Danke.

Und nein, das was sich Herr Schäuble als Wir-schützen-die Bevölkerung-Politik vorstellt schafft nicht wirklich Vertrauen!

Durch Telepolis bin ich heute auf eine Aktion aufmerksamt gemacht worden, die zur Idee hat, unsere Überwacher zu überwachen.

Klingt gut, ist gut, wird unterstützt. Neuer Button rechts unten.

Auf http://www.uberwach.de/protokoll.html kann jeder sehen, welche (mitmachenden) Seiten die Regierung so aufruft.