All posts under sicherheit

Die Ring Stick Up Cam – Sicherheit an jeder Hauswand

Einfach zu montieren und leicht in Betrieb zu nehmen, kommt die neue Stick Up Cam der Firma Ring daher. Wer sich eine komplizierte Verkabelung von Sicherheitskameras ersparen, aber dennoch sein Heim jederzeit in Sicherheit wissen möchte, der sollte die Stick Up Cam einmal genauer in Augenschein nehmen.

Die Stick Up Cam einfach überall befestigen

Die Montage der Stick Up Cam gestaltet sich dabei denkbar einfach. Mit dem mitgelieferten Montagewerkzeug wird der Sockel einfach angeschraubt und die Cam anschließend mit dem Internet verbunden. Die Kamera kann sowohl auf Außen-, als auch Innenflächen angebracht werden und widersteht laut Hersteller allen Witterungsbedingungen und Temperaturen von -20,5°C bis 48°C.

Um dabei die Stromversorgung über USB zu nutzen, darf die smarte Überwachungskamera maximal zwei Meter von einer Steckdose entfernt sein. Für weitere Distanzen bietet die Kamera auch einen Power over Ethernet-Adapter und kann so über ein normales LAN-Kabel mit Strom versorgt werden.

Mehr als eine Kamera

Die kalifornische Firma Ring, ist spezialisiert auf Smart Home Geräte. Klar also, dass die Stick Up Cam keineswegs nur eine schnöde Überwachungskamera ist. Registriert die smarte Kamera Bewegungen, erhaltet ihr sofort eine Benachrichtigung auf euer Handy, Tablet oder PC. Über die Ring App könnt ihr das Bild der Stick Up Cam live mitverfolgen und die Gegensprechfunktion der Cam benutzen, um so mit sich nähernden Personen zu sprechen. Das dürfte dem einen oder anderen potentiellen Einbrecher einen ordentlichen Schrecken einjagen.

Die Ring App ist sowohl für Android, iPhone und Mac, als auch für Windows erhältlich und bietet euch ein übersichtliches Bedienfeld, mit dem ihr eure Stick Up Cams im Überblick behalten und die Bewegungszonen, die die Kamera abdeckt, individuell anpassen könnt. So lässt sich die Registrierung von Bewegungen optimal gestalten und auf die wichtigsten Bereiche eures Zuhauses abstimmen.

Wer seine Hände allerdings gar nicht mehr benutzen möchte, kann seine Stick Up Cams auch mit Alexa-fähigen Geräten, wie zum Beispiel dem Echo Dot koppeln und so einfach Alexa fragen was zuhause vor sich geht.

Videos Aufnehmen und Zusammenschneiden

Die Stick Up Cam bietet von sich aus eine Livestream-Funktion, kann aber noch mehr. Kauft ihr euch die Kamera, erhaltet ihr automatisch ein 30-tägiges Probe-Abonnement des Dienstes Ring Protect. Mit diesem könnt ihr die Videos, die eure Stick Up Cam aufzeichnet, speichern und teilen. Das Ring Protect Basic-Abonnement kostet pro Gerät drei Euro im Monat. Für zehn Euro könnt ihr mit dem Ring Protect-Plus-Abonnement Videos von beliebig vielen Geräten aufzeichnen und teilen. Die reine Livestream-Funktion ist aber kostenlos.

Technische Details zur Stick Up Cam

Die Stick Up Cam kann neben der kabelgebundenen auch in einer akkubetriebenen Variante erworben werden. Diese ist, was die Positionierung angeht, noch flexibler, deckt aber mit 115° einen kleineren Bereich ab als die kabelgebundene Variante. Die wartet immerhin mit einem Blickwinkel von 150° auf. Ansonsten betragen die Abmessungen beider Varianten 9,70 cm x 5,99 cm x 5,99 cm und nehmen 1080p HD-Videos auf. Um die Streamingleistungen der praktischen Kamera zu nutzen, solltet ihr eine Uploadgeschwindigkeit von mindestens einem Mbit/s haben. Die Stick Up Cam ist in weiß und schwarz für 199 Euro erhältlich und fügt sich optisch in so ziemlich jede Einrichtung ein.

Rings smarte Überwachungskamers kaufen (Provisionslink)


Image Stick Up Cam by Ring

Weiterlesen »

773 Millionen Passwörter gestohlen – So geht ihr auf Nummer sicher

Das Internet ist derzeit ein echtes Minenfeld. Im Dezember erst, warnte der BSI vor dem Trojaner Emotet, der besonders gefährliche E-Mails verschickt. Kürzlich veröffentlichte der mittlerweile gesperrte Twitter-Account @_0rbit sensible Daten bekannter Persönlichkeiten aus Politik, Show und Internet.

Nun kommt der nächste große Hammer. IT-Sicherheitsexperte Troy Hunt ist in einem Hackerforum auf eine Passwort-Sammlung von 773 Millionen Online-Konten gestoßen.

Die größte nachgewiesene Passwort-Sammlung

Dieser Leak mit dem Namen „Collection #1“ ist das bislang größte öffentlich publik gewordene Datenleck.

Troy Hunt stieß auf die Collection #1, nachdem in einem Hacker-Forum entsprechende Links zum Filehoster MEGA aufgetaucht sind. Der Datensatz besteht aus 12.000 einzelnen Dateien und hat eine Größe von 87 Gigabyte. In einem Forenbeitrag ist die Rede von mehr als 2.000 Datenbanken, die in der Sammlung enthalten sein sollen.

Der australische Sicherheitsexperte beschäftigt sich schon lange mit gestohlenen Daten und stellt die Datenbank „Have I Been Pwned“ zur Verfügung, auf der Nutzer prüfen können, ob ihre E-Mail-Addresse bereits Opfer eines Daten-Leaks wurde. Beim Abgleich mit seiner Datenbank, blieben noch ungefähr 140 Millionen E-Mails und Passwörter, die bislang nicht in der Datenbank zu finden waren.

Wurde ich bereits Opfer eines Datenleaks?

Um zu schauen, ob eure E-Mail-Zugangsdaten bereits in einem Leak auftauchen, könnt ihr eure E-Mail-Adresse auf Hunts „Have I Been Pwned“-Seite überprüfen. Diese umfasst mittlerweile mehr als 6 Milliarden betroffene Accounts.

Die Seite umfasst lediglich Informationen, ob die E-Mail-Adresse jemals in einem Leak auftauchte und aus welcher Quelle. Welches Passwort ihr zu der Zeit hattet, erfahrt ihr nicht.

Was kann ich tun, wenn meine Daten geklaut wurden?

Hunt vermutet, dass die Sammlung vor allem für „Credential Stuffing“ genutzt wird. Dabei wird die Kombination aus E-Mail und Passwort bei anderen Diensten ausprobiert. Hacker versuchen oftmals auch Abwandlungen des Passwortes. Damit sind also nicht nur eure Mail-Accounts, sondern alle eure Accounts, die eine ähnliche Kombination aus der Adresse und dem Passwort verwenden, gefährdet.

Das solltet ihr tun, wenn eure E-Mail-Adresse betroffen ist:

  • Überlegt euch, welche Dienste ihr mit der betroffenen Adresse verwendet.
  • Ändert dort eure Passwörter und verwendet möglichst sichere Kombinationen.
  • Verwendet nicht das gleiche Passwort oder ähnliche Abwandlungen.
  • Nutzt am besten einen Passwort-Manager.
  • Zwei-Faktor-Authentifizierung bietet noch mehr Sicherheit. Dabei wird für die Anmeldung auf einen Account noch ein zweiter Code gebraucht, der zum Beispiel nur auf das eigene Smartphone übertragen wird.

Auch wenn ihr nicht betroffen seid, solltet ihr eure Passwörter möglichst sicher machen, damit niemand durch euren E-Mail-Account Zugang zu euren anderen Nutzerkonten erhält.


Image by andrew_rybalko via stock.adobe.com

Weiterlesen »

Ulo, die Überwachungskamera mit den großen Augen

Sie ist klein und niedlich, aber sie kann Großes bewirken. Wenn ihr Tierfreunde seid, euch aber kein eigenes Haustier anschaffen könnt, dann ist vielleicht Ulo etwas für euch. Ulo ist klein, kompakt, stubenrein und kann zudem noch das Haus überwachen. Wer oder was genau Ulo aber eigentlich ist, zeigen wir euch hier einmal genauer.

Ulo ist eine Sicherheitskamera im niedlichen Eulendesign, die euer Haus genau im Blick behält. Dabei auffällig, sind vor allem ihre Kulleraugen. Ulo kann per Magnet an der Wand befestigt oder beispielsweise im Regal platziert werden. Da Ulo aber auch wasserdicht ist, ist es möglich sie auch draußen an der Hauswand anzubringen. Nachdem der Besitzer sich die App aus dem Google Play Store oder Apple App Store auf das Smartphone geladen hat, kann die kleine Eule direkt zum Einsatz kommen.

Mit einem Tipper auf den Kopf der Überwachungseule, schaltet sich Ulo ein. Auch der Alarmmodus beim Verlassen des Hauses, kann mit zweimaligem Tippen auf den Kopf aktiviert werden.

Die Augen verraten den Gemütszustand von Ulo

Ulos Augen, bestehend aus zwei 1,22 Zoll LCD-Displays, sprechen Bände. Hierbei hat das Startup Mu Design Ulos das Hauptaugenmerk natürlich auf die niedlichen Augen der Eule gelegt. Per App können diese auch individuell nach eigenem Geschmack angepasst werden. Verschiedene Farben und Pupillen-Größen schenken der Eule mehrere Design-Möglichkeiten.

Sobald der neue Mitbewohner in Betrieb genommen ist, ist es Zeit ihn genauer zu erkunden. Denn Ulo kann zwar nicht sprechen, seinem Besitzer aber mit den Augen deutlich machen, was er gerade braucht. Wenn der kleinen Eule beispielsweise die Augen zufallen, so weiß man, dass sein Akku leer ist und aufgeladen werden muss. Wenn sie mit einem Auge blinzelt, schießt sie gerade ein Foto. Aber Nutzer können der Überwachungskamera, dank der IFTTT-Funktion noch weitere Funktionen zu schreiben. Wenn es beispielsweise regnet, so wird auch Ulos Blick dementsprechend genervt und wenn jemand aus dem Haushalt Geburtstag hat, dann kann auch Ulo glücklich dreinblicken.

Ein kleines Allroundtalent

Ulo kann aber wesentlich mehr als nur niedlich auszusehen und das Haus im Blick zu haben. So eignet sich der Vogel dank des kinderfreundlichen Designs auch für das Kinderzimmer. Sollte zudem tatsächlich der Fall eines Einbruches eintreten, so schießt Ulo, noch bevor der Einbrecher die Kamera abschalten kann, ein Foto von ihm und zeichnet anhand des intergirierten Mikrofons auch den Ton auf. Auch nachts Bewegungen im Haus zu erkennen, fällt der Eule durch Infrarot nicht schwer. Das Video, beziehungsweise das Foto des Einbrechers, schickt die Kamera dann anschließend hochaufgelöst auf das Smartphone des Besitzers.

Technische Fakten rund um Ulo

Ulo wird durch kleine Akkus betrieben, die per Micro USB-Kabel aufgeladen werden. Mit der 2 Megapixel FullHD-Überwachungskamera, die sich im Schnabel der Eule befindet, zeichnet sie kleine Gifs auf, sobald der Bewegungsensor der Eule anschlägt. Die Aufzeichnungen werden auf dem 8GB großen Speicher gelegt. Wer allerdings mehr Speicherplatz benötigt, kann diesen mit einer Micro-SD-Karte erweitern.

Wir finden, die kleine Überwachungseule ist ein niedliches Gadget, um die eigenen vier Wände im Blick zu haben. Nicht nur das knuffige Design macht Ulo sympathisch, sondern auch die Möglichkeiten, die die kleine Eule mit sich bringt. So können nicht nur Einbrecher von der Eule überrascht werden, sondern auch Eltern können ihre Kinder sicher im Auge behalten. Wer sich für smarte Überwachungstechnik interessiert, für den lohnt sich ein Blick auf die Überwachungseule Ulo.

Für etwa 199 Euro kann man sich die Eule ins Haus holen.

Überwachungskameras bei Amazon kaufen (Provisionslink).


Image by Mu Design

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • WHATSAPP CHIP: Werbung in WhatsApp: Alptraum vieler Nutzer wohl bald Realität: Bisher war die Nutzung von WhatsApp fernab von jeglicher Werbung. Allerdings könnte sich dieses bald ändern. Das soziale Netzwerk Facebook möchte nun mit dem WhatsApp-Messenger Geld machen. Das Ganze könnte dann etwa so aussehen, dass User die ersten fünf Chats in ihrem Verlauf sehen und anschließend einen Werbebanner über Produkte und Dienstleistungen vorfinden, auf welchen sie dann klicken können. Ebenso könnte es möglich sein, dass WhatsApp-Nutzer sich auf Push-Nachrichten mit Werbetexten einstellen müssen. Bleibt abzuwarten, wie lange wir WhatsApp noch angenehm werbefrei nutzen können.

  • GOOGLE NEWS GoogleWatchBlog: Bericht: Google Play Kiosk wird eingestellt; Magazine, Abos & YouTube werden in Google News integriert: Ein großes Update für Google News steht an. Hierbei soll sich neben der direkten Integration von YouTube-Videos auch die gesamte Oberfläche erneuern. Zudem ist eine Magazin-Sektion geplant, bei dem User einzelne Abos verwalten können. Nutzer sollen dann alles noch schneller finden können, was sie benötigen. Der eher weniger populäre, jedoch häufig genutzte Google Play Newsstand, soll dann komplett eingestellt werden.

  • SKY Q Netzwelt: Sky Q: Neue Oberfläche ab sofort verfügbar: In Deutschland hält Sky Q jetzt Einzug auf unseren Bildschirmen. Nachdem es schon eine ganze Weile in Italien und Großbritannien verfügbar ist, können wir nun auch das Home-Entertainment-System des Pay-TV-Senders nutzen und ebenfalls auf die On-Demand-Inhalte von Sky Go und Sky Kids zugreifen. Zum Teil sollen diese Inhalte sogar in Ultra HD ausgestrahlt werden. Allerdings erwartet Sky-Nutzer noch mehr. Somit haben diese Zugriff auf die ARD- und ZDF-Mediatheken und weiteren Smart-TV-Apps. Über Sky Q soll zudem auf fünf Geräten gleichzeitig auch das Programm aus dem deutschen Free-TV abrufbar sein. Ein weiterer Ausbau von Sky Q ist bereits im Sommer vorgesehen.

  • TWITTER Tagesschau: Sicherheitslücke bei Twitter entdeckt: Twitter-Nutzer sind derzeit aufgerufen, ihr Twitter-Passwort vorsorglich zu ändern. Grund dafür ist eine Sicherheitslücke bei der Passwörter in einer internen Protokolldatei ungeschützt gespeichert wurden. Diese Panne sei schon seit mehreren Wochen bekannt. Mittlerweile ist der Fehler wieder behoben und es gebe bisher auch keine Hinweise darauf, dass Daten geklaut oder missbraucht wurden. Um aber auf der sicheren Seite zu sein, sollten Nutzer sich dennoch ein neues Passwort zulegen.

  • FACEBOOK Handelsblatt: So will Facebook uns verkuppeln: Auf Facebook haben rund 200 Millionen Menschen ihren Status als Single angegeben. Für Mark Zuckerberg ist das etwas, woran man arbeiten sollte. Also wird Facebook jetzt unter anderem zur Datingseite. Wie genau das Ganze aussehen soll, ist noch nicht bis ins Detail bekannt. Es gibt jedoch einige Anzeichen, was Nutzer erwartet. Die Dating-Funktion läuft über einen neu angelegten Account, bei dem der Nutzer nur mit seinem Vornamen zu sehen sein wird. Lediglich Flirt-Interessierte können das Profil sehen – für die eigenen Facebook-Freunde wird das Flirt-Profil nicht sichtbar sein und diese werden auch nicht als Flirtpartner vorgeschlagen. Mit einem Klick auf ein Herzsymbol gelangen Nutzer dann direkt zum Dating-Profil. Für Zuckerberg liegen bei der neuen Funktion vor allem der Datenschutz und die Privatsphäre der Nutzer im Fokus.

Weiterlesen »

Vertraulich: Mehr Schutz durch neue Gmail-Sicherheitsfunktionen

Gmail-Logo

Die Google-Produktmanager David Thacker und Matthew Izatt haben heute die jüngsten Updates für Gmail vorgestellt. Neben einem Rundum-Redesign der Anwendung sollen Unternehmen und Privatanwendern ihre sensiblen Kommunikations-Daten künftig mit den neuen Gmail-Sicherheitsfunktionen noch besser schützen können. Dazu zählt in erster Linie der neue Modus „Vertraulich“.

Neue Gmail-Sicherheitsfunktionen: SMS-Authentifizierung und Selbstzerstörung

Dieser vertrauliche Modus soll in den kommenden Wochen verfügbar sein und danach sensible Inhalte besonders schützen. Etwa, indem sich E-Mails mit einem Ablaufdatum versehen oder zuvor gesendete Nachrichten widerrufen lassen. Zusätzlich kann der Absender eine Authentifizierung per SMS für seine E-Mails anfordern. Auf diese Weise seien Informationen sogar bei einem gehackten Empfänger-Konto geschützt.

Ebenfalls können Gmail-Nutzer in ihren Mails nun die Optionen zum Weiterleiten, Kopieren, Herunterladen oder Drucken von Nachrichten entfernen. Dadurch sinkt das Risiko, dass vertrauliche Informationen versehentlich in falsche Hände geraten. Daneben haben die Entwickler die Gmail-Sicherheitswarnungen auffälliger gestaltet. Die größeren, fettgedruckten Hinweise sollen noch einfacher zu verstehen sein und dem Nutzer einen klaren Aufruf zum Handeln geben.

Intelligente Antworten: Gmail-KI denkt mit

Neben den neuen Gmail-Sicherheitsfunktionen hat Google auch einige seiner KI-gestützten Features in die Browser-Anwendung eingebaut. Mit „Automatische Erinnerungen“, „intelligente Antwort“ und „wichtige Benachrichtigungen“ sollen Nutzer einen besseren Überblick im Postfach behalten und gleichzeitig Zeit sparen.

Mit „Automatische Erinnerungen“ weist Googles E-Mail-Dienst euch künftig darauf hin, dass ihr unbeantwortete oder ungelesene E-Mails habt. Die Funktion „Intelligente Antworten“ kennen manche vielleicht schon aus der mobilen Anwendung. Ihr könnt euch nun auch im Browser passende Antworten von der Software vorgeschlagen lassen und diese versenden.

Ferner könnt ihr Googles E-Mail-Dienst so einstellen, dass er euch nur noch bei wirklich relevanten Eingängen benachrichtigt. Die Software informiert euch zudem, wann ihr euch von Mailinglisten abmelden könnt – mit Hilfe von KI bekommt ihr Vorschläge zum Abbestellen eingeblendet. Grundlage ist die Anzahl der erhaltenen E-Mails eines Absenders und wie viele ihr davon tatsächlich lest.

Gmail Nudging Postfach ebenso
Die Gmail-KI stupst uns vorsichtig an, wenn wir Mails nicht beantworten. Image by Google

Redesign verbindet Gmail mit G-Suite-Anwendungen

Das Redesign der Gmail-Webanwendung wirkt sich auch auf das User-Interface des Posteingangs aus. Anhänge lassen sich nun direkt anzeigen und anklicken, ohne dass ihr den gesamten Verlauf öffnen müsst. Ebenso könnt ihr mit der Maus über Nachrichten fahren, um sie zu archivieren oder aufzuschieben. Darüber hinaus könnt ihr dank der neuen nativen Offline-Funktionen ohne Internetverbindung E-Mails suchen, schreiben, antworten, löschen oder archivieren, die nicht älter als 90 Tage sind.

Google integriert den E-Mail-Dienst nun zudem in die wichtigsten G-Suite-Anwendungen, sodass ihr nicht mehr zwischen Tabs oder Anwendungen hin und her springen müsst. David Thacker und Matthew Izatt kündigten auch an, dass sie diese neue Seitenleiste in weiteren G-Suite-Programmen integrieren wollen: Kalender, Docs, Tabellen und Präsentationen sollen bald folgen.

Google Tasks: Neuer Aufgabenplaner macht E-Mails zu To-Dos

Schließlich kündigten die Produktmanager in diesem Blog-Beitrag den Launch eines neuen Aufgabenplaners für den Browser und mobile Apps an, die eng mit G Suite verzahnt sind. Er hört auf den schlichten Namen Google Tasks und ist für Android und iOS gratis verfügbar.. So lassen sich E-Mails aus Gmail einfach per Drag-and-Drop in den Aufgabenplaner verschieben um eine Aufgabe zu erstellen. Hat diese Aufgabe ein Fälligkeitsdatum, so erscheint sie zusätzlich im Kalender.

Das neue Interface von Gmail ist zwar nicht automatisch verfügbar. Ihr könnt es allerdings über das Zahnrad in der oberen rechten Ecke des Posteingangs aktivieren, sofern euch dort die Option „Probiere das neue Gmail“ schon angezeigt wird. Wer später dennoch wieder umsteigen möchte, kann an gleicher Stelle „Zurück zum klassischen Gmail“ wählen.

Neues Android-Smartphone bei Amazon aussuchen (Provisions-Link)

Dieser Text erschien zuerst bei Netzpiloten Android.


Images by Google

Weiterlesen »

Die Papierakte ist weg! Lang lebe die Papierakte!

Woman, man, male and female (adapted) (Image by rawpixel_com [CC0 Public Domain] via Unsplash)

Im Dezember 2017 kann also auch das Freisinger Jobcenter verkünden, man habe jetzt von Papierakten auf die elektronische Aktenführung umgestellt. Eine Nachricht, die ein fahles Licht auf die Digitalisierung der Verwaltung wirft. Das Problem stellt dabei nicht unmittelbar das Jobcenter in Freising dar, sondern der unzureichende Fortschritt der Digitalisierung in der Verwaltung im Allgemeinen.

Die Lebenswelten der Menschen im digitalen Zeitalter haben sich stark gewandelt. Friseur- und Arzttermine lassen sich im Netz buchen. Einkäufe verlagern sich immer mehr ins Internet und die sozialen Kontakte werden über digitale Plattformen gepflegt. Medien- und Bildungsangebote sind mannigfaltig im Internet zu finden. Sollte aber ein Verwaltungsanliegen anstehen, klopft das 20. Jahrhundert wieder an die Tür.

Dabei ist die unzureichende Digitalisierung am sichtbarsten für den Bürger, wenn sie ihn unmittelbar betrifft. Die Studie der Initiative D21 „eGovernance Monitor“ macht dies deutlich. Demnach haben im Jahr 2017 weniger Menschen die digitalen Angebote der Verwaltungen genutzt und auch ihre Zufriedenheit mit den Angeboten lässt deutlich nach. Und das, obwohl die Digitalisierung der Verwaltung viel versprochen hatte: schnellere Behördenbearbeitungen, effizientere Behörden, einen bequemeren Umgang für die Bürger mit ihren Anliegen und auch die Serviceangebote sollten bürgerfreundlicher werden. Mit welchen Problemen kämpft die Verwaltung eigentlich, wenn es um die Digitalisierung der Arbeitsprozesse geht? Ist der Prozess der Digitalisierung der deutschen Behörden zu intellektuellen Küchenwitzen verkommen, oder handelt es sich dabei nur um ein Vorurteil?

Das Problem mit der Usability

Die E-Governance-Angebote werden nur von etwa 41 Prozent der Deutschen genutzt. Das liegt vor allem an der schlechten Auffindbarkeit von Angeboten und dem Zurückfallen in traditionelle Formen der Verwaltung während dem Prozess. „Wenn ich online eine Dienstleitung raussuche und am Ende des Tages wieder Ausdrucken und wieder auf die Seite der Behörde gehen muss, dann ist der Vorteil von online zu gering“, so Cornelia Gottbehüt, Government & Public Sector Advisory Leader und Vorstandsmitglied der Initiative D21. Die Informationen zu Serviceangeboten sind dabei auf mehreren Unterseiten verteilt, so dass die Suche nach Informationen zum Zeitfresser werden kann. Intuitiv geht anders. Ein weiteres Problem liegt laut Cornelia Gottbehüt in der mangelnden Sicht- und Auffindbarkeit der Serviceangebote.

Die Hoffnung, dass durch die Digitalisierung die Informationen schneller und gebündelter zu finden sind und sich Verfahren mit Behörden vereinfachen, haben viele längst verworfen.

Das „Once-Only“-Prinzip beispielsweise, welches in anderen Ländern wie der Schweiz und Österreich genutzt wird, sieht eine einmalige Weitergabe von Informationen des Bürgers an die Behörden vor. Danach werden diese Informationen intern und unter den Behörden, je nach Bedarf, weitergeleitet. Das erspart die meisten zeitintensiven Behördengänge. Dieses Verfahren kann allerdings nur mit transparenten Methoden der Verwaltung und der Einhaltung strenger Datenschutzbestimmungen als positiv betrachtet werden. Immerhin sagen laut Studie 1/3 der Deutschen, dass das „Once-Only“-Prinzip für sie zu einer modernen Verwaltung dazu gehört.

Die Deutschen sind in dieser Hinsicht weitaus skeptischer, was die Weitergabe von privaten Daten der Behörden untereinander angeht als andere europäische Länder. Das Sicherheitsbedenken steht der Digitalisierung an dieser Stelle zwar im Weg, ist aber aus datenschutzrechtlichen Gründen durchaus angebracht.

Digitalisierung first, Sicherheit second?

Bei der Sicherheit der Daten, die durch staatliche Stellen gespeichert werden, liegt ein zudem intransparentes Verhalten vor mit wem sie geteilt werden. Das Bekanntwerden des Dataminings der Geheimdienste hat zumindest nicht die Bereitschaft der Deutschen gefördert, personenbezogene Daten freiwillig unter den Behörden tauschen zu lassen. Aktuell sind laut dem Bericht der Initiative D21 nur 1/3 der Bundesbürger bereit im Rahmen des „Once-Only“-Prinzips, ihre Daten zum Austausch unter den Behörden freizugeben. Dabei ist für die anderen 2/3 vor allem der Datenschutz der Grund, sich gegen eine Weitergabe der Daten auszusprechen.

Der Datenschutz hat dabei mit den Verträgen von Lissabon den Status eines europäischen Grundrechtes bekommen. Das betont Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, in ihrem Jahresbericht. Somit wäre die einzige Möglichkeit diesen Aspekt der Digitalisierung effektiv und unter Berücksichtigung des Rechtes auf Datenschutz umzusetzen, dem Bürger transparent zu zeigen mit wem und wann seine Daten genutzt und eingesehen worden sind. Der Datenschutz spielt für die Bürger und die europäischen Institutionen eine zentrale Rolle und darf daher nicht zugunsten der überhasteten Digitalisierung geopfert werden.

Auch bei der in den Behörden und Kommunen eingesetzten Software gibt es Probleme hinsichtlich der Sicherheit. So hatte die Software „PC-Wahl“ bei der Bundestagswahl 2018 große Sicherheitsbedenken ausgelöst. Der Chaos Computer Club konnte nämlich nachweisen, wie einfach die Software zu hacken ist. Schaden hätte so nicht entstehen können, so der Bundeswahlleiter Dieter Sarreither, da Veränderungen am Wahlergebnis spätestens im endgültigen Wahlergebnis aufgefallen wären. Des Weiteren würden nur vier von 396 Kommunen die Software einsetzen. Dennoch wirft auch dieser Vorfall ein schlechtes Licht auf die Art der Umsetzung der Digitalisierung der Verwaltung. So kommt es immer wieder zu Fällen, dass eine Software auf die verschiedenen Arbeitsbereiche angepasst werden muss und dabei die Sicherheit eine zweitrangige Rolle spielt. Dies liegt zweifelsfrei auch an der geringen Aufwendung der Mittel für Software mit einem hohen Sicherheitsanspruch.

Der Plan der Digitalisierung der Verwaltung- error 404

Das wohl größte Problem der Digitalisierung der Verwaltung hin zur E-Governance, liegt im Fehlen eines einheitlichen Konzeptes. Die deutsche Verwaltung ist schon seit je her bekannt für die wohlwollend formuliert „behutsame“ Anpassung bei Arbeitsprozessen an modern gewordene Standards. Dies war schon bei der Umstellung von einer inkrementellen Buchhaltung, zu einer modernen Buchhaltung mit einem Doppelhaushalt zu beobachten. In der deutschen Verwaltung werden beinahe alle föderalen Einheiten mehr oder weniger unabhängig voneinander digitalisiert. Besonders bei der Zusammenführung von Arbeitsprozessen, ist ein unterschiedlicher Standard aber hochgradig kontraproduktiv. Der Eindruck erhärtet sich zudem, dass die Digitalisierung einzelner Behörden oder Fachgruppen nur durch das Engagement einzelner Mitarbeiter vorangebracht wird.

Die Bertelsmann Stiftung hat im Mai 2017 einen Aktionsplan zur „Transformation der Verwaltung“ herausgegeben. In diesem lässt sich erkennen, wo eigentlich das Problem liegt, für das schnell Lösungen gefunden werden sollten. Schuld oder nicht Schuld, die Reform ist hier die Frage

Die Kommunen und Behörden sind im Grunde nicht das Problem. Vielmehr fehlen strategische und verbindliche Vorgaben, an denen diese sich orientieren können. Diese hätten den Vorteil, zu einer Vereinheitlichung der Digitalisierung zu führen, so dass nicht 396 Kommunen ebenso viele Konzepte zur Digitalisierung haben. Besonders bei den Entscheidungsstrukturen- und mechanismen gelingt, trotz verstärktem Einsatz von IT-Maßnahmen, zu wenig. Zudem haben die Verwaltungen mit dem massiven Problem zu kämpfen, IT-Techniker und Experten anzuwerben, die für eine Digitalisierung von Arbeitsprozessen nötig sind. So gab die Berliner IT-Staatssekretärin Sabine Smentek in einem Interview im Juni 2017 mit dem RBB an, dass besonders im Bereich der IT-Sicherheit und bei bestimmten Systemadministratoren, adäquates Personal fehlt.

Obwohl sich auf allen bundesstaatlichen Ebenen viele Akteure für das Anliegen der Digitalisierung einsetzen, so fehlt es doch an einer einheitlichen bundestaatlichen Lösung. Hier wäre eine vom Bund vorgegebene Föderale IT Architektur genauso wichtig, wie die gesonderte Bereitstellung finanzieller Mittel zur Digitalisierung der gesamten Verwaltung, von der Bundespolizei, bis zum Freisinger Jobcenter.

In dieser Hinsicht gibt der Bund bei der Digitalisierung von Verwaltung und deren Leistungsfähigkeit seine Verantwortung gerne ab. Das Ergebnis sind dann Meldungen, wie die Umstellung von Papierakten auf die elektronische Aktenführung im Jahr 2017. Dabei finden viele Konferenzen zu dem Thema statt. Viele der Akteure sind im regen Austausch miteinander und haben gute, proaktive Ideen. Es fehlt aber die Bereitschaft des Bundes, sich mit der Digitalisierung auf ein breit angelegtes, durch juristische Rahmenbedingungen gesichertes sowie vor allem gut finanziertes Konzept zu einigen. Der Prozess und dessen Umsetzung könnten zudem von einem Ministerium für Digitalisierung überwacht und auf die Einhaltung vorher festgelegter Standards überprüft werden.

Welche Parteien auch letztendlich Regierungsverantwortung übernehmen sollten, alle sollten ein Interesse an einer zukunftsorientierten, leistungsfähigen und am Bürger orientierten digitalen Verwaltung haben. Eine moderne Verwaltung sollte mit der sich rasant verändernden Lebensrealität seiner Bürger mithalten können. Wenn dafür nicht so schnell wie möglich das Fundament gelegt wird, werden sich die Probleme in der Zukunft exponentiell anstauen und daran kann niemandem gelegen sein.

Dieser Artikel erschien zuerst auf Politik-Digital.de. Mit freundlicher Genehmigung der Redaktion.

CC-Lizenz-630x11011


Image (adapted) „Woman, man, male and female“ by rawpixel_com (CC0 Public Domain)


Weiterlesen »

US-Behörden überwachen weiter – auch ohne gesetzliche Grundlage

Good Things Come to Those Who Hustle (adapted) (Image by Hannah Wei [CC0 Public Domain] via Unsplash)

Die US-Behörden, namentlich die NSA und das FBI, dürfen weiterhin ohne Richterbeschluss die Telekommunikation überwachen, auch wenn das zugrunde liegende Gesetz Ende des Jahres ausläuft und der Kongress es nicht rechtzeitig verlängert. Das hat die US-Regierung um Präsident Donald Trump kürzlich verkündet. Demnach sollen die Überwachungsprogramme bis Ende April auch ohne gesetzliche Grundlage weiterlaufen dürfen. So lange hätte der Kongress Zeit, das zugrunde liegende Gesetz, §702 des „FISA Amendments Act“, zu verlängern.

Massive Telekommunikations-Überwachung

Das fragliche Gesetz erlaubt es den US-Behörden, von US-Unternehmen (wie etwa Google, Facebook und US-amerikanischen Telekommunikations-Providern) die Telefongespräche, E-Mails, SMS und andere Telekommunikation von Ausländerinnen und Ausländern ohne Richterbeschluss einzusehen, selbst wenn diese mit US-Bürgerinnen oder -Bürgern kommunizieren. Schon von Anfang an stand es in der Kritik der US-amerikanischen Bürgerrechtsbewegung.

„Höchste legislative Priorität“

Schon seit über einem Jahr hatten Vertreter der Ermittlungsbehörden und Sicherheitsexperten den Kongress angehalten, den FISA Amendments Act schnellstmöglich zu verlängern. Sie betonten, die Herstellung einer gesetzlichen Grundlage für anlasslose Überwachung auch über den Jahreswechsel hinaus, habe „höchste legislative Priorität„, um die Sicherheit der USA zu gewährleisten.

Der Kongress allerdings hat bislang kein solches Gesetz verabschiedet. Das liegt einerseits daran, dass er mit anderen politischen Maßnahmen, unter anderem den von Donald Trump vorangetriebenen Steuersenkungen, beschäftigt war. Andererseits konnten sich die Abgeordneten bislang noch nicht darauf einigen, wie genau ein neues Überwachungs-Gesetz aussehen sollte.

Um nicht ohne Überwachungs-Befugnisse dazustehen, traf die US-Regierung nun eine folgenschwere Entscheidung. Demnach können die Behörden bis Ende April weiterhin anlasslos überwachen, ohne dass es eine neue gesetzliche Grundlage gibt.

„Wertvoll für den Schutz des Landes“

Vielen Geheimdienst-Vertreterinnen und -Vertretern ist das allerdings nicht genug. Sie befürchten, dass es mit der nun umgesetzten kurzfristigen Lösung im Frühjahr zu Problemen kommen könnte. „Wir sind vollkommen überzeugt, dass der Kongress dieses wichtige Statut vor Jahresende verlängern wird. Es nicht zu tun, wäre undenkbar angesichts des beträchtlichen Wertes, den Sektion 702 für den Schutz des Landes hat,“ erklärte Brian Hale, Sprecher des NSA-Direktors.

Schleichende Ausweitung der Überwachung

Das nun ablaufende Gesetz entstand aus dem geheimen „Stellarwind“-Abhörprogramm, das kurz nach dem 11. September von der Bush-Regierung eingeführt wurde. Nachdem das Wissen über das Programm öffentlich geworden war, verabschiedete die US-Regierung 2008 den „FISA Amendments Act“, der es in leicht abgewandelter Form legalisierte. Ursprünglich vor allem für die Terrorismus-Bekämpfung gedacht, wird das Gesetz nun für die verschiedensten Ermittlungszwecke eingesetzt.

Der Werdegang des Gesetzes ist ein prägnantes Beispiel dafür, wie rücksichtslos bei der Durchsetzung von Überwachungs-Befugnissen oft vorgegangen wird. Zunächst geheim, also ohne das Wissen der Bevölkerung, wurde ein Überwachungsinstrument geschaffen, das kaum demokratischer oder juristischer Kontrolle unterliegt. Es wurde, wie die meisten solcher Gesetze und Programme, auch Jahre und Jahrzehnte nach der ursprünglichen Bedrohung keineswegs überprüft oder eingeschränkt, sondern im Gegenteil weiter ausgeweitet und schleichend auf eine Vielzahl weniger akuter Bedrohungen erweitert. So entsteht schrittweise eine Situation, in der Überwachung normal und an keine konkrete Bedrohung mehr geknüpft ist.

Wünschenswert wäre, dass der Kongress die Gelegenheit nutzt, um dieses problematische Überwachungsinstrument kritisch zu überprüfen. Angesichts der Richtung, die die US-Politik diesbezüglich in den letzten Jahren eingeschlagen hat, ist das aber mehr als unwahrscheinlich. Zudem zeigt schon das nun erfolgte Einschreiten der Regierung, aus welcher Richtung der politische Wind weht. Ein kritischer und vorsichtiger Umgang mit derartigen behördlichen Befugnissen scheint keineswegs gewünscht zu sein. Stattdessen wird die nationale Sicherheit wieder einmal als General-Argument für jegliche Einschränkung der Bürgerrechte verwendet.


Image (adapted) „Good Things Come to Those Who Hustle“ by Hannah Wei (CC0 Public Domain)

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • YOUTUBE t3n: Youtube will eigenen Musik-Streamingdienst starten: Damit die Nutzer endlich bezahlen, plant Youtube im kommenden Jahr seinen eigenen Streamingdienst. Hierfür habe die Plattform schon das Musiklabel Warner Music Group an Land gezogen. Zudem sei Youtube auch mit Sony und Universal im Gespräch. Diese Gespräche finden allerdings schon seit über einem Jahr statt. Der Versuch von der Plattform einen Streamingdienst einzuführen, ist jedoch nicht das erste Mal. Schon im Jahr 2014 wurde Youtube Music Key ins Leben gerufen, was im Jahr 2016 zu Youtube Red wurde. Die Nutzer zeigten daran nur wenig Interesse. Bleibt abzuwarten, wie sich der neue Streamingdienst, der unter dem Namen Remix erscheinen soll, bei den Nutzern im kommenden Jahr durchsetzen wird.

  • TAXIMARKT Handelsblatt: Angriff auf das Taxi-Monopol: Auf dem Taximarkt herrscht in Deutschland ein stetiger Wandel. App-Anbieter wie Uber, Mytaxi oder auch BlaBlaCar nehmen einen zunehmend großen Stellenwert in der Personenbeförderung ein. Für neue Anbieter wird der Eintritt in den Markt durch verschiedene Regelungen jedoch immer schwieriger. Experten raten der Politik daher, dass sie die Chancen der Digitalisierung nutzen müsse, um den Taximarkt zu liberalisieren. In der vergangenen Legislaturperiode, sah das noch so aus: Bundesverkehrsminister Alexander Dobrindt (CDU) sah zum Thema „Liberalisierung des Taxi-Markts“ keinen Handlungsbedarf. Nun heißt es allerdings vom Digital- und Verkehrsexperten der Unions-Bundestagsfraktion, Thomas Jarzombek (CDU), dass eine neue Koalition sich mit der Modernisierung des Personenbeförderungsrechts auseinandersetzen sollte.

  • GROUPON Horizont: Groupon bietet neuen Service für die Geschenksuche: Noch keine Weihnachtsgeschenke zu Weihnachten? Der Rabatt-Anbieter Groupon kann da weiterhelfen. Mit einer SOS-Hotline und einem Geschenke-Guide, soll das Finden von Geschenken für die Liebsten nun einfacher ablaufen. Die Weihnachtskampagne “Die Unbeschenkbaren” stellt daher einen Telefondienst zur Verfügung, der von “echten Schwiegermüttern” besetzt ist. Der Geschenke-Guide bietet zudem Präsent-Empfehlungen an, die dem Suchenden Inspirationen zum Schenken liefern sollen. Wer also auf der verzweifelten Suche nach Geschenken ist und einen “Unbeschenkbaren” in der Familie oder im Freundeskreis hat, sollte dort einfach mal vorbeischauen.

  • CHROME t-online: Warum Sie den Chrome-Browser aktualisieren sollten: Über eine kritische Schwachstelle im Chrome Browser konnten Angreifer ganze Computer übernehmen. Insgesamt gab es 37 Schwachstellen der letzten Version des Browsers, die jetzt mit einem Update geschlossen wurden. In vielen Fällen könnten Angreifer Speicherfehler provozieren und so Schadcodes ausführen. Falls das Update nicht automatisch ausgeführt wird, sollten User beachten es manuell im „Hilfe“-Menü zu installieren. Gleichzeitig zum Sicherheitsupdate wurden zudem die Chrome-Apps aus dem Web-Store genommen. Bereits installierte Apps sollen laut Google noch bis Anfang 2018 funktionieren.

  • INSTAGRAM Giga: Instagram plant Angriff auf WhatsApp mit Aufspaltung: Nach Snapchat sagt Instagram jetzt auch indirekt dem Messenger WhatsApp den Kampf an. Die Facebook-Tochter testet derzeit eine neue App, den Kurznachrichtendienst „Direct, der so mit WhatsApp und dem Facebook Messenger in direkter Konkurrenz stehen soll. Sowohl WhatsApp und Instagram gehören zwar beide zum Facebook-Konzern, ähnlich wie dort sollen aber private Nachrichten und öffentliche Inhalte in Instagram besser getrennt werden. In sechs Ländern ist Direct zum Testen bereits verfügbar und bewirbt sich selbst mit exklusiven Filtern, um sich den Usern schmackhaft zu machen.

Weiterlesen »

Schluss mit Kinkerlitzchen: Die einzige sichere E-Mail besteht aus reinem Text

Kontrolle, Tastatur, E-Mail (adapted) (Image by antonynjoro [CC0 Public Domain] via pixabay)

Es ist ein beunruhigender Gedanke: Man könnte jederzeit eine E-Mail öffnen, die aussieht, als käme sie vom Arbeitgeber, einem Verwandten oder der Bank. In Wirklichkeit könnte es sich jedoch um PhishingScams handeln. Jede der vielen unschuldigen E-Mails, die wir den ganzen Tag über erhalten, könnte uns dazu kriegen, unsere Zugangsdaten herauszurücken und Verbrechern die Kontrolle über unsere vertraulichen Daten oder Identität zu geben.

Die meisten Leute gehen davon aus, dass es die Schuld der Benutzer selbst ist, wenn sie auf Phishing-Betrügereien hereinfallen. Jemand könnte einfach auf das falsche Feld geklickt haben. Um das Problem zu beheben, sollten Benutzer einfach damit aufhören. Als Sicherheitsexperten, die sich mit Malware-Techniken beschäftigen, glauben wir jedoch, dass hier der Falsche beschuldigt wird.

Das wirkliche Problem besteht darin, dass die heutigen webbasierten E-Mail-Systeme elektronische Minenfelder ähneln, die mit Anforderungen und Verlockungen angefüllt sind, um zu klicken und sich in einer zunehmend reaktionsschnellen und interaktiven Online-Erfahrung zu engagieren. Es sind nicht nur Google Mail, Yahoo-Mail und ähnliche Dienste. Desktop-basierte E-Mail-Programme wie Outlook zeigen Nachrichten auf die gleiche unsichere Art und Weise an.

Einfach ausgedrückt, ist die einzig sichere E-Mail eine reine Text-Mail. Sie zeigt nur den nackten Text an, ohne eingebettete Links oder Bilder. Webmail ist für Werbetreibende praktisch – und erlaubt gutaussehende E-Mails mit Bildern und netten Schriften zu schreiben, birgt aber unnötige und ernsthafte Gefahren in sich. Denn eine Webseite – oder eine E-Mail – kann leicht das Eine zeigen, aber auch das Andere tun.

Die Rückkehr von E-Mails zu ihrem Ursprung mag radikal erscheinen, bietet aber eine deutlich höhere Sicherheit. Sogar die besten Experten für Cybersecurity der US-Regierung kommen zu dem erschreckenden, aber wichtigen Schluss, dass jede Person, die ernsthaft mit Web-Sicherheit zu tun hat, egal, ob es sich hierbei um Organisationen oder Regierungsmitglieder handelt – zu Text-E-Mails zurückkehren sollte:

„Organisationen sollten sicherstellen, dass sie HTML in E-Mails nicht mehr verwenden können und Links deaktivieren. Alles sollte zu Klartext gezwungen werden. Dies verringert die Wahrscheinlichkeit, dass potenziell gefährliche Skripte oder Links im Text der E-Mail versendet werden. Außerdem wird die Gefahr gebannt, dass ein Benutzer einfach nur auf etwas klickt, ohne darüber nachzudenken. Mit Text-Mails müsste der Benutzer den Link selbst eingeben oder die Kopierfunktion nutzen. Dieser zusätzliche Schritt ermöglicht dem Benutzer eine weitere Gelegenheit zum Nachdenken und zur Analyse, bevor er auf den Link klickt.“

Das Problem falsch verstehen

In den letzten Jahren wurden Webmail-Nutzer strengstens angewiesen, auf jeden verdächtigen Hinweis in E-Mails zu achten. Sie durften keine E-Mails von Leuten öffnen, die sie nicht kannten. Sie sollten keine Anhänge öffnen, ohne den Absender vorher sorgfältig zu prüfen. Viele Unternehmen bezahlen Sicherheitsfirmen mehr als fürstlich, um zu prüfen, ob ihre Angestellten auf diesen Versprechungen gut machen. Aber das Phishing geht weiter – und kommt immer häufiger vor.

Die Berichterstattung zu dem Thema kann hier noch verwirrender erscheinen. Die New York Times bezeichnete den Verstoß gegen die E-Mail-Sicherheitsvorschriften des Democratic National Committee als „dreist“ und „schamlos“. Man wies auf eine Vielzahl möglicher Probleme hin – alte Netzwerksicherheitsausrüstung, hoch entwickelte Angreifer, gleichgültige Ermittler und unaufmerksame Mitarbeiter des Supports – bevor es eine weitere Schwäche aufdeckte. Des Pudels Kern ist allzu oft ein eifriger Benutzer, der „ohne viel nachzudenken“ handelt.

Aber das eigentliche Problem mit Webmail – der Sicherheitsfehler, der schon viele Millionen Dollar gekostet hat – war die Idee, dass, wenn E-Mails über eine Website versendet oder empfangen werden könnten, sie mehr als nur reiner Text sein könnten, selbst wenn die Webseiten von einem Webbrowser-Programm angezeigt werden. Dieser Fehler hat erst die Möglichkeit für eine kriminelle Phishing-Branche geschaffen.

Entwickelt für Gefahren

Ein Webbrowser ist das perfekte Werkzeug für Unsicherheit. Browser sind so konzipiert, dass sie Inhalte aus mehreren Quellen nahtlos zusammenfügen: Text von einem Server, Anzeigen von einem anderen, Bilder und Videos von einem dritten Server, Buttons, die dem Benutzer nachverfolgen, und so weiter. Eine moderne Webseite ist ein Flickenteppich von dutzenden Drittanbieter-Seiten. Damit diese Zusammenstellung von Bildern, Links und Buttons einheitlich und integriert dargestellt wird, zeigt Ihnen der Browser nicht an, woher die einzelnen Teile einer Webseite stammen – oder wohin sie führen, wenn sie angeklickt werden.

Schlimmer noch, sie erlaubt es Webseiten – und damit E-Mails – ihre Herkunft zu verschleiern. Wenn man „www.google.com“ in die Browserzeile eingibt, kann man ziemlich sicher sein, dass man auf die Google-Hauptseite gelangt. Klickt man jedoch auf einen Link oder Button mit der Bezeichnung – wird man dann tatsächlich zum echten Google geleitet? Man müsste bei jedem Link sorgfältig den zugrunde liegenden HTML-Quellcode der E-Mail lesen. Es gibt darüberhinaus noch dutzende weitere Möglichkeiten, wie Browser manipuliert werden können, um uns zu täuschen.

Das ist das Gegenteil von Sicherheit. Die Nutzer können die Folgen ihres Handelns nicht vorhersagen und auch nicht im Voraus entscheiden, ob die möglichen Ergebnisse akzeptabel sind. Ein absolut sicherer Link wird möglicherweise direkt neben einem bösartigen Link angezeigt, ohne, dass ein Unterschied zwischen diesen erkennbar ist. Wenn ein Benutzer mit einer Webseite konfrontiert ist, muss er sich entscheiden, ob er auf etwas klicken will.

Hier gibt es keine gangbare Möglichkeit, vorher zu erfahren, was nach dem Klick passieren könnte oder mit welcher Firma oder anderen Teilnehmern der Nutzer zu tun haben wird. Der Browser verbirgt diese Informationen. Immerhin können wir uns, wenn wir selbst aktiv im Internet surfen, entscheiden, auf welche Website unseres Vertrauens wir uns begeben wollen. Kommt ein Link per Webmail, liefert er uns jedoch eine von einem Angreifer erstellte Webseite direkt in unsere Mailbox!

Der einzige Weg, um die Sicherheit im heutigen Webmail-Umfeld zu gewährleisten ist, sich die Fähigkeiten eines professionellen Web-Entwicklers anzueignen. Erst dann werden die Ebenen von HTML, Javascript und anderem Code klar; erst dann werden die Konsequenzen eines Klicks im Voraus bekannt. Natürlich ist dies ein unangemessen hoher Grad an Raffinesse, den die Benutzer zum Schutz ihrer selbst an den Tag legen müssen.

Solange Softwaredesigner und Entwickler keine Browser-Software und Webmail-Systeme reparieren und die Benutzer nicht in Kenntnis der Sachlage entscheiden lassen, wohin sie ihre Klicks führen können, sollten wir den Ratschlägen von C. A. R. Hoare folgen, einem der ersten Pioniere der Computersicherheit: Der Preis für Zuverlässigkeit ist das Streben nach höchster Einfachheit.“

Die sicherste E-Mail ist die reine Text-E-Mail

Unternehmen und andere Organisationen sind noch anfälliger als Einzelpersonen. Eine einzelne Person braucht sich nur um ihre eigenen Klicks zu kümmern – viele Mitarbeiter in einer Organisation sind ein viel größeres Risiko. Es ist eine einfache Gleichung: Wenn jeder Mitarbeiter die gleiche Chance hat, auf einen Phishing-Betrug hereinzufallen, ist das Risiko für das Unternehmen insgesamt viel höher, dass auch etwas passiert. Tatsächlich besteht bei Unternehmen mit 70 oder mehr Angestellten eine um 50 Prozent erhöhte Chance, dass jemand mit einer Phishing-Mail getäuscht wird. Die Unternehmen sollten Webmail-Anbieter, um deren Sicherheitsaspekt es theoretisch schlechter bestellt ist als die Chance, bei einem Münzwurf zu gewinnen, sehr kritisch betrachten.

Als Technologen haben wir uns längst damit abgefunden, dass manche technischen Entwicklungen einfach eine schlechte Idee sind, auch wenn sie zunächst spannend aussehen. Die Gesellschaft muss dasselbe tun. Sicherheitsbewusste Nutzer müssen von ihren E-Mail-Providern eine Klartext-Option verlangen. Leider sind solche Optionen noch nicht sehr verbreitet und mühsam durchzusetzen, aber sie sind ein Schlüssel zur Eindämmung der Gefahrenwelle.

Mail-Anbieter, die sich weigern, dies zu tun, sollte man schlichtweg meiden – genauso wie man dunkle Gassen für ein florierendes Ladengeschäft meiden sollte. Diese Hintergassen des Internets können mit ihren bunten Anzeigen, Bildern und Animationen attraktiv aussehen – sicher sind sie allerdings nicht.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Kontrolle, Tastatur, E-Mail“ by antonynjoro (CC0 Public Domain)


The Conversation

Weiterlesen »

EU plant Überwachung per Software-Exploit

Women look at security cameras (adapted) (Image by Matthew Henry [CC0 Public Domain] via Unsplash)

Auch auf EU-Ebene wird derzeit über Angriffe auf verschlüsselte Kommunikationsdienste mit dem Ziel der Telekommunikationsüberwachung diskutiert. Zwar geht es in erster Linie um das Ausnutzen vorhandener Schwachstellen, nicht um den absichtlichen Einbau von Hintertüren. Doch auch dieses Vorgehen, das zwangsläufig im Verzicht auf die Behebung von Software-Schwachstellen resultiert, hat sich in den letzten Jahren als sehr gefährlich erwiesen. Im Sinne der IT-Sicherheit wie der Bürgerrechte sollte die EU von ihrem Vorhaben abrücken.

Suche nach Software-Schwachstellen gefordert

Auch auf EU-Ebene stößt die aktuelle Tendenz, private Kommunikation zunehmend zu verschlüsseln, bei Politik und Ermittlungsbehörden auf wenig Begeisterung. Statt diesen Trend als Schritt hin zu besserem Datenschutz und effektiverem Schutz vor Online-Kriminalität zu sehen, befürchten die EU-Behörden vor allem eine Behinderung der Strafverfolgung. Dementsprechend suchen aktuell sowohl der EU-Rat als auch die EU-Kommission nach Lösungen, wie die Verschlüsselung bei populären Kommunikationsdiensten umgangen werden kann. 

Das geht aus einem Dokument, welches das Generalsekretariat des Rates an die Mitgliedstaaten versandt hat, hervor. In diesem wird dazu aufgerufen, „Schwächen bei Algorithmen und Implementierungen“ gängiger Kommunikations-Verschlüsselungslösungen zu suchen, um diese im Bedarfsfall ausnutzen zu können. Zu diesem Zweck steht sowohl die Forschung im Bereich der IT-Sicherheit als auch die Investition in moderne, leistungsstarke Hardware im Mittelpunkt der Pläne.

Beteiligung des deutschen ZITiS?

Die Pläne der EU tragen zweifellos die gleiche Handschrift wie die aktuellen Programme einiger nationaler Behörden, darunter der deutschen „Zentralen Stelle für IT im Sicherheitsbereich“ – kurz ZITiS. Vielfach wird spekuliert, dass diese gestaltend mitgewirkt hat.

Auch ohne Behörden-Backdoors gefährlich

Zwar geht es der EU derzeit „nur“ um das Ausnutzen bereits vorhandener Sicherheitslücken, nicht um den absichtlichen Einbau von Hintertüren für die Ermittlungsbehörden – noch, denn einige EU-Länder, insbesondere Frankreich, Großbritannien, Italien, Ungarn und Polen fordern, die Platzierung solcher „Backdoors“ in den Maßnahmenkatalog mit aufzunehmen. Doch auch diese Vorgehensweise hat sich in den letzten Jahren als äußerst riskant erwiesen. Sicherheitslücken, die die Behörden nutzen wollen, werden von diesen bei der Entdeckung nicht an die zuständigen Entwicklerfirmen gemeldet. Dementsprechend bleiben sie oft jahrelang offen. Werden sie dann kriminellen Dritten bekannt – sei es durch deren eigene Forschung oder den Leak von Behörden-Dokumenten -, können sie beispielsweise zur massenhaften Verbreitung von Schadsoftware genutzt werden. So waren die massenhaften Ransomware-Epidemien des letzten Jahres unter anderem Folge des bedenklichen Umgangs der Ermittlungsbehörden mit Software-Schwachstellen.

Eine Politik für die Wissensgesellschaft fordern

Sicherheitslücken offen zu lassen und mit Staatstrojanern oder ähnlichen Werkzeugen zur Telekommunikationsüberwachung auszunutzen, ist angesichts der Bedeutung von IT für unsere Gesellschaft verantwortungslos und gefährlich. Schon im Sinne der IT-Sicherheit und des angemessenen Schutzes kritischer Infrastrukturen sollte die EU von ihren aktuellen Plänen dringend abrücken, bevor sie ernsthaften Schaden anrichtet. Hinzu kommen die psychologischen und sozialen Folgen einer massiven staatlichen Überwachung und die bekanntermaßen oft intransparente und vorschriftswidrige Arbeit der Nachrichtendienste. All das sind Gründe genug, eine andere Politik zu fordern – eine Politik, die die digitale Wissensgesellschaft fördert und schützt, statt sie in Gefahr zu bringen.


Image (adapted) „Women look at security cameras“ by Matthew Henry (CC0 Public Domain)


Weiterlesen »

Das Internet versetzt uns zurück ins Mittelalter

Ritter (adapted) (Image by NadineDoerle [CC0 Public Domain] via Pixabay)

Internetfähige Geräte sind so alltäglich und so anfällig, dass Hacker vor kurzem in ein Casino eindringen konnten – durch das hauseigene Aquarium. In diesem befanden sich mit dem Internet verbundene Sensoren, die die Temperatur und Sauberkeit des Aquariums messen sollten. Die Hacker verschafften sich Zugriff auf die Sensoren des Aquariums und von dort auf den Computer, der diese steuert und von dort aus wiederum zu anderen Teilen des Casino-Netzwerks. Die Eindringlinge konnten zehn Gigabyte Daten nach Finnland kopieren.

Hier wird das Problem des Internets der Dinge gut sichtbar: Wir kontrollieren es nicht wirklich. Und es ist auch nicht immer klar, wer es kontrolliert – obwohl oft Software-Designer und Werbetreibende beteiligt sind.

In meinem letzten Buch „Owned: Property, Privacy and the New Digital Serfdom“ behandele ich, was es heißt, wenn unsere Umgebung mit mehr Sensoren als je zuvor ausgestattet wird. Unsere Aquarien, intelligenten Fernseher, internetfähigen Heimthermostate, Fitnesstracker und Smartphones sammeln ständig Informationen über uns und unsere Umgebung. Diese Informationen sind nicht nur für uns wertvoll, sondern auch für Leute, die uns Sachen verkaufen wollen. Sie sorgen dafür, dass internetfähige Geräte so programmiert sind, dass sie Informationen teilen.

Nehmen wir zum Beispiel Roomba, den Roboter-Staubsauger. Seit 2015 haben die High-End-Modelle Karten der Häuser ihrer Benutzer erstellt, um sie bei der Reinigung effizienter zu navigieren. Aber wie Reuters und Gizmodo vor kurzem berichteten, kann iRobot – der Hersteller von Roomba – diese Karten der Privathäuser mit seinen Geschäftspartnern teilen.

Sicherheits- und Datenschutzverletzungen sind eingebaut

Wie der Roomba können auch andere intelligente Geräte programmiert werden, um unsere privaten Informationen mit Werbetreibenden über diverse Kanäle zu teilen, denen wir uns gar nicht bewusst sind. In einem Fall, der noch mehr Einblicke gewährte als der Roomba-Businessplan, sammelte ein Smartphone-gesteuertes erotisches Massagegerät namens WeVibe Informationen darüber, wie oft, mit welchen Einstellungen und zu welchen Zeiten es benutzt wurde. Die WeVibe-App schickte diese Daten an ihren Hersteller zurück, die sich bereit erklärten, einen Betrag in Millionenhöhe zur rechtlichen Streitschlichtung zu zahlen, als die Kunden dies herausfanden und gegen die Eingriffe in ihre Privatsphäre protestierten.

Diese heimlichen Datenverbindungen sind ein ernsthaftes Datenleck. Der Computerhersteller Lenovo hat seine Computer mit einem vorinstallierten Programm namens „Superfish“ verkauft. Das Programm sollte Lenovo – oder Unternehmen, die es finanziert haben – erlauben, gezielte Anzeigen in die Ergebnisse der Webseiten der Nutzer einzufügen. Die Art und Weise der Ausführung war extrem unsicher: Es wurde Web-Traffic ohne das Wissen des Nutzers einschließlich der Web-Kommunikation Benutzer generiert, von denen sie dachten, sie wären sicher verschlüsselt, wie Verbindungen zu Banken und Online-Shops für Finanztransaktionen.

Eigentum ist das Problem

Ein wichtiger Grund, warum wir unsere Geräte nicht wirklich kontrollieren, ist, dass verantwortliche Unternehmen sie immer noch „besitzen“, auch nachdem wir sie gekauft haben. So kann jeder ein hübsch aussehendes Kästchen voller Elektronik kaufen, das als Smartphone funktioniert, aber eigentlich kauft jeder nur eine Lizenz, um die verwendete Software nutzen zu dürfen. Das führt dazu, dass Unternehmen ihre Produkte über ihre Teilrechte auch nach dem Kauf kontrollieren können. Das ist so, als ob ein Autohändler ein Auto verkauft, sich aber sein Eigentum am Motor vorbehält.

Diese Art der Vereinbarung zerstört das Konzept des Grundbesitzes. John Deere hat den Landwirten bereits mitgeteilt, dass sie ihre Traktoren nicht tatsächlich besitzen, sondern nur die Software lizenzieren – sodass es ihnen nicht gestattet ist, ihre eigenen Landmaschinen zu reparieren oder in eine unabhängige Werkstatt zu bringen. Die Landwirte stellen sich einem solchen Vorhaben natürlich entgegen, aber vielleicht sehen es viele bei Smartphones nicht so eng, da diese vergleichsweise oft über Raten finanziert und ebenso oft weiterverkauft werden.

Wie lange wird es dauern, bevor wir erkennen, dass versucht wird, die gleichen modi operandi auf intelligente Häuser oder Fernseher in unseren Wohn- und Schlafzimmern, auf intelligente Toiletten und internetfähige Autos anzuwenden?

Zurück zum Feudalismus?

Die Frage danach, wer Eigentum kontrolliert, hat eine lange Geschichte. Im feudalen System des mittelalterlichen Europas besaß der König fast alles. Die Eigentumsrechte anderer waren also von ihrer Beziehung zum König abhängig. Die Bauern lebten auf dem Lande, die der König einem örtlichen Herrn gewährte und die Arbeiter hatten nicht immer Eigentum an den Werkzeugen, die sie für die Landwirtschaft oder andere Geschäfte wie Zimmerei oder in der Schmiede benutzten.

Im Laufe der Jahrhunderte entwickelten sich westliche Volkswirtschaften und Rechtssysteme zu unseren modernen, kommerziellen Vorstellungen: Menschen und Privatunternehmen kaufen und verkaufen oft selbst Sachen und eigene Grundstücke, Werkzeuge und andere Gegenstände. Abgesehen von einigen grundlegenden Regierungsregeln wie Umweltschutz und öffentlicher Gesundheit, schränken übrige Systeme den heutigen Besitz nicht mehr ein.

Dies bedeutet, dass beispielsweise eine Autofirma den einzelnen Verbraucher nicht davon abhalten kann, ein Auto in einem kreischenden Rosaton zu lackieren oder das Öl zu wechseln, egal, welche Reparaturwerkstatt damit beauftragt wird. Er kann sogar versuchen, sein Auto selbst zu modifizieren oder zu reparieren. Das Gleiche gilt für Fernseher, landwirtschaftliche Maschinen oder Kühlschränke.

Doch die Erweiterung des Internets scheint uns zurück zu etwas Ähnlichem wie diesem alten Feudalmodell zu bringen, wo die Menschen nicht die Gegenstände besaßen, die sie jeden Tag benutzten. In dieser Version des 21. Jahrhunderts verwenden Unternehmen das Recht des geistigen Eigentums, um Ideen zu schützen – um physische Objekte zu kontrollieren, von denen Verbraucher denken, sie zu besitzen.

Kontrolle über geistiges Eigentum

Ich nutze ein Samsung Galaxy. Google steuert das Betriebssystem und die Google Apps, die ein Android-Smartphone zum Laufen bringen. Google lizenziert sie an das Unternehmen Samsung, das eine eigene Änderung an der Android-Oberfläche vornimmt und mir das Recht, mein eigenes Telefon zu benutzen, unterlizenziert – oder zumindest wird dies von Google und Samsung behauptet. Samsung schließt dann Vereinbarungen mit Softwareanbietern, die Verbraucherdaten für eigene Zwecke nutzen möchten.

Dieses Modell ist aus meiner Sicht fehlerhaft. Wir müssen das Recht haben, unser Eigentum zu reparieren. Wir brauchen das Recht, invasive Werbetreibende von unserer Elektronik fernzuhalten. Wir brauchen die Möglichkeit, heimliche Datenverbindungen zu kappen – nicht nur, weil wir nicht ausspioniert werden wollen, sondern auch, weil solche Hintertüren enorme Sicherheitsrisiken bergen, wie die Geschichten von Superfish und dem gehackten Aquarium zeigen. Wenn wir nicht das Recht haben, unser Eigentum zu kontrollieren, ist das Eigentum auch nicht wirklich unseres. Wir sind nur digitale Bauern, die Dinge, die wir gekauft und bezahlt haben, nach der Laune unseres digitalen Herrn nutzen.

Auch wenn sich das jetzt düster anhört, gibt es Hoffnung. Diese Probleme werden schnell zu Albträumen öffentlicher Beziehungen für beteiligten Unternehmen. Es gibt ernsthafte Unterstützung von verschiedenen Parteien für Entwürfe zum Recht auf Reparatur, die Eigentumsbefugnisse für Verbraucher wiederherstellen.

In den letzten Jahren haben wir Fortschritte bei der Rückgewinnung des Eigentums von Möchtegern-Digitalbaronen gesehen. Wichtig ist, dass wir erkennen und es ablehnen, was diese Unternehmen zu tun versuchen, dass wir entsprechend kaufen, unsere Rechte ausüben, unsere intelligenten Immobilien nutzen, reparieren und modifizieren und die Bemühungen unterstützen, diese Rechte zu stärken. Die Idee des Eigentums ist in unserer kulturellen Phantasie immer noch mächtig und sie wird nicht so einfach sterben. Das gibt uns ein Zeitfenster, das wir ausnutzen sollten.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Ritter“ by NadineDoerle [CC0 Public Domain]


The Conversation

Weiterlesen »

Intransparenz und gefährliche Ideen bei der Zitis

ITadaptedImage-by-joffi-CC0-Public-Domain-via-Pixabay

Kürzlich wurde die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) eröffnet. Sie soll die deutschen Behörden im Bedarfsfall zum Beispiel mit Software für die IT-forensische Auswertung beschlagnahmter Geräte, aber auch mit Überwachungs-Software versorgen. Im Umfeld der Eröffnung traf Bundesinnenminister Thomas de Maizière eine bedenkliche Aussage. Seiner Ansicht nach ist es keineswegs ausgeschlossen, dass Deutschland Software-Schwachstellen von Fremdanbietern kauft.

Feierliche Eröffnung

Feierlich wurde das Zitis in Gegenwart seines zukünftigen Direktors Wilfried Karl, des Bundesinnenministers Thomas de Maizière sowie der bayerischen Wirtschaftsministerin Ilse Aigner eröffnet. Die Behörde soll zukünftig dafür sorgen, dass deutschen Geheimdiensten und Ermittlungsbehörden die nötige Software zur Verfügung steht. Dazu zählt auch Software zur Überwachung Verdächtiger.

Ankauf von Exploits?

De Maizière traf einige durchaus vernünftige Aussagen zur IT-Sicherheit. So bekannte sich der Minister zu einer sicheren Verschlüsselung, auch einer Ende-zu-Ende-Verschlüsselung, und erteilte dem bewussten Einbau von Schwachstellen oder Hintertüren, wie ihn etwa seine englische Amtskollegin Amber Rudd erwägt, eine Absage.

Daneben traf de Maizière aber auch deutlich beunruhigendere Aussagen. So erklärte er, es sei durchaus möglich, dass Deutschland ausnutzbare Software-Schwachstellen (sogenannte Exploits) von Drittanbietern kaufe. Zitis-Direktor Karl hatte derartige Praktiken zuvor ausgeschlossen. „Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen,“ hatte Karl noch vor Kurzem gegenüber Journalisten betont.

Ein Vorgehen wie das von de Maizière geforderte ist höchst problematisch. Um Schwachstellen für die Zwecke der Behörden nutzen zu können, werden diese bewusst offen gelassen. Fallen sie später – etwa durch Leaks, aber auch schlichtweg durch Recherche von IT-Kriminellen – destruktiven Akteuren in die Hände, kann viel Schaden an den Systemen vollkommen unbeteiligter Nutzerinnen und Nutzer entstehen. So wurde die spektakuläre „WannaCry“-Epidemie, bei der unter anderem kritische Infrastrukturen mit einem Ransomware-Trojaner infiziert und durch diesen unbenutzbar gemacht wurden, über eine Windows-Sicherheitslücke ermöglicht, die der NSA seit Jahren bekannt war.

Mit seinen Aussagen zog de Maizière auch die Kritik von Bürgerrechts-Aktivistinnen und -Aktivisten auf sich. „Unverantwortlich“ nannte etwa unmittelbar vor der Veranstaltung Hartmut Goebel von der Bürgerrechtsorganisation Digitalcourage die geplante Nutzung der Exploits. „Über diese Lücken werden weltweit täglich kritische Infrastrukturen, Unternehmen, Journalistinnen, Parlamente und Bürgerinnen angegriffen. Der Staat hat die Pflicht, Sicherheitslücken zu schließen und darf sie nicht fördern.“

Dass Deutschland nun auch eine derartige Politik in Erwägung zieht, ist unerfreulich, aber kaum überraschend. Die IT- und Datensicherheit muss hierzulande leider schon lange hinter den (vermeintlichen) Belangen der Ermittlungsbehörden zurücktreten.

Kritik unerwünscht

Angesichts dieser bedenklichen Haltung de Maizières verwundert es nicht, dass der Minister Kritik am Zitis und dessen Vorgehensweise nicht so gerne zu sehen scheint, wie er bei der Eröffnungsfeier noch betonte. So hatte die Bundesbeauftragte für den Datenschutz, Andrea Voßhoff , kürzlich beklagt, beim Aufbau des Zitis nicht einbezogen worden zu sein. Daraufhin teilte der Bundesinnenminister kurzerhand mit: „Bei einer solchen Forschungsstelle ist die Bundesdatenschutzbeauftragte gar nicht zu beteiligen.“ Sie sei aber jederzeit eingeladen, sich über die Forschungsarbeit zu informieren.

Auch die zwei Protestierenden von Digitalcourage waren offensichtlich alles andere als willkommen. Sie mussten die Veranstaltung von draußen verfolgen und bekamen sogar Schwierigkeiten durch die Androhungen des bayrischen Versammlungsverbots.

Die Wächter überwachen

Der für das Zitis eingeschlagene Kurs stimmt bedenklich. Datenschutz und IT-Sicherheit müssen anscheinend wieder einmal hinter dem Wunsch nach größtmöglicher staatlicher Kontrolle zurücktreten. Auch die Kritik- und Beratungsresistenz, die sich bereits jetzt abzeichnet, ist alles andere als Vertrauen erweckend. So bleibt nur, dem Zitis – sofern angesichts der problematischen Struktur und behördlichen Geheimhaltung möglich – auf die Finger zu schauen und durch politischen Druck unklugen und gefährlichen Ideen wie dem Handel mit Exploits entgegenzuwirken.


Image (adapted) „IT“ by joffi (CC0 Public Domain)


Weiterlesen »

Datenschutz: Nach wie vor von Bedeutung

Datenschutz (Image by TBIT(CC0 Public Domain)via Pixabay)

Unter dem Motto “Rettet die Grundrechte” fand am 09.09.2017 in Berlin eine Protestkundgebung statt. Zeit, sich einmal damit zu beschäftigen, wie es um die Datenschutz-Bewegung in Deutschland derzeit bestellt ist – und welche Grundrechte überhaupt gerettet werden sollen. Vor allem Letzteres scheint aktuell vielen Menschen nicht bewusst zu sein. Datenschutz wird häufig als isoliertes Nischenthema wahrgenommen – dabei ist er alles andere als das.

Zahlreiche Überwachungsgesetze

In der letzten Legislaturperiode wurden zahlreiche Überwachungsgesetze verschärft oder neu eingeführt. Die Vorratsdatenspeicherung wurde nach langem Hin und Her wieder eingeführt, Staatstrojaner sollen verstärkt und zukünftig sogar bei Alltagskriminalität eingesetzt werden und fragwürdige Internet-Überwachungspraktiken der Geheimdienste wurden durch das BND-Gesetz legitimiert. Auch die Meinungs- und Pressefreiheit ist unter Beschuss – sei es durch die den Quellenschutz gefährdende massive Überwachung oder durch fehlgeleitete Gesetze wie das neue Netzwerkdurchsetzungsgesetz. Daneben gibt es weitere kontroverse Pläne zur Inneren Sicherheit, wie etwa den weiteren Ausbau der Video-Überwachung (womöglich mit Gesichtserkennung).

Angesichts dieser desaströsen Situation beschlossen einige Aktivistinnen und Aktivisten, vor der Bundestagswahl ein Zeichen zu setzen. Sie wollten deutlich machen, dass sie das Verhalten der Regierung weder billigen noch dulden – und dass der Widerstand gegen freiheitsfeindliche Sicherheitsgesetze auch nach der Bundestagswahl weiter gehen wird. Am 09.09.2017 veranstalteten sie daher eine Protestveranstaltung, bestehend aus Demonstrationszug, Reden und Freiheitsfest, in Berlin.

Datenschutz – nicht relevant?

Die Protestkundgebung erhielt nicht die öffentliche und mediale Aufmerksamkeit wie Veranstaltungen zum Thema vor fünf oder zehn Jahren. Das mag einerseits der kurzen Vorbereitungszeit und dem nasskalten Herbstwetter geschuldet sein. Andererseits herrscht aber momentan auch in Teilen der Bevölkerung offenbar die Meinung vor, Datenschutz sei kein aktuell bedeutsames Thema.

Doch warum ist das so? An einer Entschärfung der politischen Situation kann es beim besten Willen nicht liegen – um diese Theorie zu widerlegen, reicht neben den aufgezählten Maßnahmen schon der Name Edward Snowden.

Es geht um Kontrolle

Woher kommt also dann das zwar vorhandene, aber doch aktuell eher gedämpfte Interesse am Datenschutz? Eine teilweise geäußerte Empfindung mancher Menschen ist, dass es aktuell wichtigere Probleme gebe, als den Datenschutz.

Es ist gut möglich, dass einige, womöglich sogar viele Menschen, so empfinden angesichts der aktuellen politischen und sozialen Probleme. Doch ist diese Denkweise berechtigt? Wohl nur, wenn Datenschutz allein als isoliertes Phänomen betrachtet wird. Geht es einem einzig und allein um die Möglichkeit, unbeobachtet E-Mails zu schreiben, ist es wohl berechtigt, diesen Wunsch hinter anderen, etwa nach Sicherheit oder sozialer Gerechtigkeit, zurückstehen zu lassen. Doch in der Realität geht es niemals nur darum. Überwachung ist kein Selbstzweck.

Es geht nur in den seltensten Fällen um brennendes Interesse am Leben anderer Personen. Es geht vielmehr um Kontrolle. Überwachung schafft oder verfestigt Machtverhältnisse. Sie gibt den Mächtigen Druckmittel in die Hand und macht den Weniger-Mächtigen, den Überwachten, oft so viel Angst, dass sie ihr Verhalten aus eigener Entscheidung heraus ändern, sich konformistischer verhalten und auf Wahrnehmung ihrer Freiheiten, insbesondere der Meinungsfreiheit, verzichten . So wird der Grundstein gelegt für eine Gesellschaft, in der auch andere Grundrechte nicht mehr selbstverständlich sind – denn wer sollte sie bei solchen Machtverhältnissen einfordern? Dieser Zusammenhänge sollten sich diejenigen, die Datenschutz für ein weniger bedeutsames Randgruppen-Thema halten, bewusst sein. Datenschutz ist alles andere als ein First World Problem einiger Nerds.

Hier wäre womöglich auch bei der Kommunikation mit der Bevölkerung anzusetzen. Noch immer machen manche Aktivistinnen und Aktivisten den Fehler, das Thema Datenschutz in ihrer Argumentation zu technisch anzugehen, statt die gesellschaftlichen Auswirkungen – die nicht technikaffine Menschen ebenso betreffen – in den Vordergrund zu stellen.

Zeit zum Handeln

Trotz aller dieser Missverständnisse steht fest: Es gibt durchaus eine signifikante Gruppe von Menschen, die grundsätzlich für das Thema Datenschutz zu mobilisieren ist. So interessieren sich zum Beispiel seit den Snowden-Enthüllungen deutlich mehr Menschen für Verschlüsselung und digitale Selbstverteidigung – so viele, dass auch Mainstream-Kommunikations-Software zunehmend auf Verschlüsselung setzt.

Hier gilt es anzuknüpfen und zukünftig das Potential noch besser zu nutzen. Das Thema Datenschutz ist nach wie vor von höchster Relevanz und wird es auch in nächster Zeit bleiben. Die Herausforderung ist nun, dies der Bevölkerung klar zu machen und sie zum Handeln zu bewegen.


Image(adapted)„Datenschutz“by TBIT [CC0 Public Domain]


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • BUNDESTAGSWAHL Welt: Experten sehen Sicherheitslücken in Bundestagswahl-Software: Ein Sprecher des Bundeswahlleiters sprach von einem „ernsten Problem“ : In Berlin haben Sicherheitsforscher gravierende Mängel in der Software gefunden, die die Wahlergebnisse der Bundestagswahl in etlichen Kommunen zusammentragen soll. So hätte das Software-Programm selbst nie eingesetzt werden dürfen, da allein der Zugriff auf dieses die Weiterleitung manipulierter Wahldaten ermöglicht.

  • HUAWEI Chip: Huawei überholt Apple: China-Smartphones jetzt gefragter als das iPhone: Zwar fehlt dem chinesischen Smartphone-Hersteller Huawei bis jetzt noch ein Topseller-Produkt, dennoch hat das Unternehmen es in den letzten zwei Monaten geschafft, einen höheren Marktanteil als Apple bei den Verkäufen zu erlangen. Damit könnte Huawei bald zur meistverkauften Smartphone-Marke werden.

  • FRITZBOX ntv: Fritzbox lässt Google alt aussehen: Bald wird für viele Fritzbox-Nutzer reibungsloser WLAN-Empfang in allen Ecken des Hauses möglich sein: Ein Update auf FritzOS 6.90 soll die Mesh-Fähigkeit der Router verstärken und für besseren Empfang zwischen den Geräten sorgen. Im Test macht sich das Mesh-Netz bereits bewährt und stellt – vor allem durch seine guten Reichweite – Google-Wifi-Geräte in den Schatten.

  • GOOGLE t3n:Google in „finalen Verhandlungsgesprächen“ mit HTC : Dass HTC schon länger um sein Überleben kämpft, ist bekannt – denn trotz guter Geräte, möchte niemand die Produkte der Taiwaner kaufen. Einem aktuellen Finanzbericht zufolge war der August der bisher schlimmste Monat seit 13 Jahren für den Hersteller. Eine letzte Hoffnung stellen nun die Verhandlungsgespräche mit Google dar: Das Unternehmen könnte eine strategische Partnerschaft mit HTC eingehen oder dieses komplett übernehmen. Solch eine Investition wäre auch für Google nicht uneigennützig.

  • IPHONE8 GameStar: Apple iPhone 8 verspätet sich – Hoher Preis soll an Samsung liegen: Das neue iPhone8 wird teurer als seine Vorgänger – Gerüchten zufolge soll der Preis zwischen 1000 und 1200 US-Dollar schwanken. Grund dafür soll der App-Konkurrent Samsung sein: Als Zulieferer der OLED-Displays soll Samsung nun rund 75 Dollar mehr pro OLED-Panel verlangen als für bisherige Modelle. Damit wird sich auch die Veröffentlichung des iPone8 um einige Zeit verspäten.

Weiterlesen »

Hacks bei selbstfahrenden Autos: So halten wir sie auf

Autonomes Fahren (adapted) (Image by RioPatuca Images via AdobeStock)

Sobald Hacker in ein Auto gelangen, das mit den Internet verbunden ist, können sie die Airbags, Bremsen und Türverriegelungen ausschalten und sogar den Wagen komplett stehlen. Das sind die Ergebnisse von Forschern, die vor kurzem Sicherheitslücken bei verschiedenen Komponenten eines Autos entdeckt haben. Es konnte bei mehreren Tests nachgewiesen werden, dass es möglich ist, sich aus der Ferne in Autos zu hacken. Ein Fall zog sogar einen Rückruf von einem Jeep-Modell nach sich.

Keiner dieser Hacks konnte bis jetzt an normalen Fahrzeugen auf der Straße gezeigt werden. Doch sie zeigen, wie Cybersicherheit zu einer großen Herausforderung für die Autoindustrie wird. Vor allem, da in Fahrzeugen mehr und mehr fahrerlose Technologie eingebaut wird. Dies hat die britische Regierung so sehr beunruhigt, dass diese sogar eine Sammlung von Richtlinien für diesen Sektor veröffentlicht hat. Diese betonen den Bedarf von Unternehmen, zusammenzuarbeiten, um widerstandsfähige Fahrzeuge zu bauen, deren Sicherheit während der gesamten Lebenszeit gewährleistet werden kann. Aber was kann eigentlich gemacht werden, um Autos, die im Prinzip zu Computern auf Rädern werden, vor Hackern zu schützen?

Es gibt drei Hauptgründe, warum Autos verwundbar für Cyberattacken werden. Diese Trends haben es ebenfalls schwierig gemacht, Sicherheitssysteme zu designen und zu testen. Erstens werden Systeme, die in einem Auto integriert sind, immer öfter so entworfen, dass diese zusammenarbeiten, um ihre Effizienz zu erhöhen. Und deswegen müssen diese alle in der Lage sein, zu kommunizieren und auch mit einer zentralen Kontrolleinheit verbunden sein. Fügt man autonome Systeme hinzu, die die Autos teilweise oder komplett fahrerlos auf die Straße lässt, heißt das, dass diese sich mit anderen Autos und der Infrastruktur auf der Straße verbinden müssen.

Aber dies öffnet ein System, was traditionell nach außen hin geschlossen war, vor möglichen bösartigen Eingriffen. Zum Beispiel haben wir Demonstrationen von Angriffen gesehen, die Bluetooth, WLAN und Sendefrequenzen des Autos nutzen, um wichtige passive Zugangssysteme anzugreifen. All diese erzeugen mögliche Einstiegspunkte für Hacker.

Zweitens bedeuten mehr Features und Funktionen in Autos auch mehr Software und Komplexität. Ein einziges Fahrzeug kann inzwischen Millionen Zeilen an Computercodes benutzen. Und dies alles wird auf verschiedenen Arten, in verschiedenen Komponenten und von verschiedenen Herstellern zusammengepackt. Das macht es Sicherheitstestern schwerer zu wissen, wo sie zu suchen haben. Und das macht es auch Prüfern schwerer einzusehen, ob ein Auto die Richtlinien einhält. Wenn die Software, die kürzlich von Volkswagen benutzt wurde, um Emissionen zu beschönigen, ein bösartiger Virus gewesen wäre, dann hätte es Monate oder Jahre gebraucht, um das Problem zu finden.

Drittens steigen das Volumen und die Vielfalt der Daten und des Inhalts ständig, die in einem Fahrzeug benutzt und gespeichert werden. Beispielsweise könnte ein Multimedia-GPS-System in einem Auto Kontaktdaten, Informationen über die gewöhnlichen Routen des Fahrers und in der Zukunft sogar Finanzdaten enthalten. Dieser Hort an Informationen wäre für Cyberkriminelle sehr attraktiv.

Eine der besten Möglichkeiten, um Autos, die im Netz verbunden sind, vor dieser wachsenden Gefahr zu schützen, wäre es, Sicherheitssysteme im Design der Fahrzeuge einzubauen. Das würde beispielsweise heißen, dass sichergestellt wird, dass es keinerlei Konflikte, Fehler oder Fehlkonfigurationen in den einzelnen Teilen gibt. Vollständig zusammen gebaute Autos sollten strenger kontrolliert werden, damit das Endprodukt gegen Hackerangriffe bestehen kann. Dabei sollten Methoden wie Penetrationstests benutzt werden, bei denen Systeme absichtlich angegriffen werden, um Sicherheitslücken aufzudecken. Dies würde im Umkehrschluss bessere Werkzeuge und Standards bedeuten, die alle Industriehersteller dazu zwingen würden, Sicherheitssysteme von Anfang an mit einzuplanen.

Die nächste große Herausforderung wird wahrscheinlich sein, Autos zu entwerfen deren Sicherheitssysteme sich mit der Sicherheit beim Fahren abstimmen. So wie sich selbstfahrende Technologie weiterentwickelt und mehr künstliche Intelligenz und Deep-Learning-Methoden benutzt, werden wir uns auf noch mehr Software verlassen, um unsere Autos zu kontrollieren und um Entscheidungen aufgrund Sicherheitsbestimmungen zu treffen, wie es auch ein menschlicher Fahrer tun würde. Das macht es noch wichtiger, dass Autos so sicher sind, dass sie auch auf die Sicherheit des Fahrers achten.

Die Antwort der Industrie

Die Industrie reagiert langsam, aber beständig auf die Gefahr von Cyber-Angriffen. Neben den Regulierungen der Regierung hat die Society of Automotive Engineers (SAE) ihr eigenes Richtlinienpaket eingeführt. Dieses zeigt, wie Cyber-Sicherheit wie andere Sicherheitsgefahren behandelt werden kann, während man Autos entwirft. Es gibt auch Bemühungen, die Fahrer fähiger zu machen ihr eigenes Auto schützen zu lassne, indem beispielsweise in den Bedienungsleitungen davon abgeraten wird, unbekannte Geräte anzuschließen.

Langfristig ist die größte Herausforderung, die Autoindustrie dazu zu bringen, sich besser abzusprechen. Der Sektor ist hart umkämpft auf jeder Ebene und Unternehmen verlassen sich auf die neuesten autonomen und smarten Technologien, um sich abzusetzen und neue Kunden zu gewinnen.

Diese Rivalität bedeutet, dass Firmen sich davor sträuben, Informationen über Gefahren aus dem Netz und mögliche werwundbare Stellen miteinander zu teilen oder aber auch zusammenzuarbeiten, um ein sichereres Design zu entwerfen. Damit Autos wirklich sicher werden, müssen wir die Industrie dazu bringen, sich zu verändern.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Autonomes Fahren“ by RioPatuca Images/AdobeStock.com


The Conversation

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • GAMESCOM Handelsblatt: Gaming wird zum Breitensport: Was für Themen sind auf der Gamescom in diesem Jahr besonders wichtig? Nachdem gestern die Bundeskanzlerin Angela Merkel die Gamescom eröffnete, dreht sich alles um das Social Gaming oder aber auch um E-Sports. Dennoch gibt es viele weitere Trends, die vor allem die Gamer derzeit begleiten. Spannende Virtual Reality-Welten warten auf die Besucher, sowie die ewig lebende Spielkonsole Nintendo. Aber in diesem Jahr spielt auch die Politik eine wichtige Rolle, da sich hier unter anderem die Frage stellt, ob man sich künftig auf eine finanzielle Förderung in der Gaming-Branche freuen kann oder nicht.

  • ANDROID 8 Welt: Google veröffentlicht Android 8 Oreo: Die meisten haben es schon vermutet: Das neue Betriebssystem Android 8 wurde nach dem berühmten Oreo Keks benannt. Nutzer können sich auf einige Neuerungen freuen. Für jede App können Benachrichtigungen jetzt individuell gesteuert werden. Zudem können Bild-in-Bild-Videos auf dem Smartphone abgespielt werden. Hier kann der Nutzer beispielsweise während eines Videochats zur gleichen Zeit ein anderes Video auf seinem Display aufrufen. Auch der Stromverbrauch lässt sich im neuen Update gut in den Griff bekommen, da Nutzer auf eine stromsparende App-Bremse zugreifen können.

  • PASSWORT Golem: Angriffe auf Microsoft-Konten um 300 Prozent gestiegen: Der IT-Sicherheitsbericht von Microsoft zeigt auf, dass Angriffe auf Microsoft-Nutzerkonten im ersten Halbjahr 2017 um 300 Prozent gestiegen sind im Gegensatz zum Vorjahr. Ein Grund dafür sei unter anderem die schlechte Wahl von Passwörtern. Oftmals sind diese unsicher und zu einfach gewählt. Zudem sind viele veröffentlichte Passwörter durch Hacks im Netz verfügbar. Microsoft empfiehlt seinen Nutzern daher Passwörter zu benutzen, die eine angemessene Länge aufweisen und am besten nur einmal genutzt werden. Außerdem zeigt der IT-Sicherheitsbericht die steigende Zahl von Loginversuchen, die von bösartig eingestuften IP-Adressen ausgehen.

  • ALDI Mobilegeeks: ALDI life wird jetzt auch zur Gaming-Plattform, startet am 22. August: Wie passen Gaming und Aldi zusammen? Seit gestern sogar ziemlich gut, denn Aldi vertreibt auf seiner Online-Plattform „ALDI life“ jetzt auch Games. Vorher gab es für die Nutzer eine Flatrate des Partners Napster, bei der sie eine Vielfalt an Songs und Hörbücher hören oder auch günstig E-Books erwerben konnten. In der Zusammenarbeit mit dem Partner Medion gibt es hier jetzt auch Spiele für sämtliche Spielkonsolen, wie beispielsweise die PlayStation, Xbox oder für aber auch für den PC. Wer sich hier ein Spiel kauft, erhält dabei einen Online-Code, mit dem das Spiel auf der jeweiligen Konsole oder auf dem PC aktiviert werden kann.

  • WHATSAPP Netzwelt: WhatsApp: So nutzt ihr die neue Status-Funktion unter iOS und Android: Auf WhatsApp gibt es mittlerweile immer mehr Funktionen für die Nutzer, um den Messenger-Dienst stets interessant zu halten. Hier kann ein eigener Status anhand von Bildern oder kurzen Videos mitgeteilt oder auch die Datenschutzeinstellungen beliebig angepasst werden. Und mit dem neuen Update kommen auch wieder neue Funktionen. Nutzer finden schon bald farbenfrohere Status-Updates, bei denen neben dem Schriftstil auch die Hintergrundfarbe geändert werden kann. Für die neuen Funktionen gibt es hier eine genaue Anleitung.

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • SAFETY CHECK sueddeutsche: Facebooks Safety Check – manchmal hilfreich, manchmal Panikmache: Die Schicherheitsabfrage von Facebook wurde bis jetzt nicht nur gelobt. Mit ihr können sich Nutzer auf Facebook in Sicherheit markieren sollte es in einer Region zu einem Anschlag oder einer anderweitigen Katastrophe kommen. Der Safety Check aktiviert sich, wenn ein Algorithmus in Posts oder Lokalmedien Keywords wie „Terror“ oder „Anschlag“ oder „Erdbeben“ erkennt. Nach den weitflächigen Bedrohungen in Barcelona war die Funktion sinnvoll, im Falschen Moment aktiviert, kann die Funktion aber auch eher für Panik als für Beruhigung sorgen.

  • BREITBAND golem: Breitbandausbau kommt nur schleppend voran: Milliardenförderungen wurden in den Breitbandausbau investiert, doch auf dem Land ist noch kaum ein Teil der Förderung angekommen. Bis 2018 sollten alle Deutschen Haushalte über mindestens einen Breitbandzugang verfügen. Momentan liegt die Quote bundesweit erst bei 75 Prozent, in manchen Regionen sogar noch weniger. Doch die Bundesregierung geht weiterhin von der Erfüllung des Ziels aus. Kritik erntet die Regierung mittlerweile nicht nur aus den Reihen der Lokalregierungen, sondern auch von Industrie und Handelskammern.

  • DROHNEN faz: Stören, abschießen und den Pilot verhaften: Drohnen warden immer beliebter, auch unter Privatpersonen. Durch ein GPS Signal erkennen manche Fluggeräte mittlerweile in welchen Zonen sie nicht fliegen darf und warnt die Nutzer, schwierig wird es bei Privatgelände von Firmen, bei denen es zu Industriespionage kommen kann. Aus diesem Grund hat sich ein großer Markt für Drohnen-Abwehr gebildet. Durch Funksignale und Erkennungssensoren soll die Drohne erkannt und dann durch ein so genanntes „Jamming“ das Signal zwischen Drohne und Fernbedienung verursacht werden. Dann könnten die Drohnen erfasst und abgeschossen werden. Die Sensortechnik soll sogar in der Lage sein den Standort des Piloten ausfindig zu machen.

  • BILDBEARBEITUNG google research blog: Making Visible Watermarks More Effective: Ein neuer Algorithmus von den Google Researchern ist nun in der Lage Wasserzeichen von Fotos zu entfernen. Viele Fotoanbieter im Internet nutzen Wasserzeichen um Internetnutzern den Zugang zu klaren Bildern zu verweigern, außer diese zahlen den genannten Preis. Die Forscher sagen, sie wollen mit der Vorstellung dieses Algorithmus keineswegs Fotoanbieter angreifen, sondern ihnen eine Sicherheitslücke aufzeigen.

  • GOOGLE wired: What Google’s Open Communication Culture Is Really Like: Die Arbeitswelt bei Google basiert auf einem bestimmten Modell – kommunikativ, offen, inspirierend Ideen zu verfolgen. Das zeichnet ein Bild ähnlich dem eines Universitätscampus. Regelmäßige Großmeetings, offene Mikrofone und Diskussionen. Das führt zu einer starken Einbeziehung der Mitarbeiter in das Unternehmen und schafft Loyalität. Doch mit zunehmender Größe des Unternehmens oder einer Angst vor immer gefährlicher werdenen Leaks wurden Veränderungen irgendwann unumgänglich, schreibt dieser Ex-Google Mitarbeiter.

Weiterlesen »

Fünf Technologien, die unsere Zukunft gestalten könnten

Thought (adapted) image by TeroVesalainen [CC0] via pixabay)

Fliegende Lagerhallen, Roboter-Rezeptionisten, intelligente Toiletten… klingen solche Innovationen eher wie Science-Fiction oder wie ein Teil einer möglichen Realität? Die Technologie hat sich in einem so rasanten Tempo entwickelt, dass uns unsere Welt in naher Zukunft futuristischen Filmen à la Blade Runner ähnelt – mit intelligenten Robotern und jeder Menge neuer Technik.

Aber welche Technologie wird wirklich einen Unterschied machen? Basierend auf jüngsten Untersuchungen von aktuellen Trends sind hier fünf Innovationen, die wirklich unsere Zukunft gestalten könnten.

1. Intelligente Häuser

Viele typische Haushaltsgegenstände können sich bereits mit dem Internet verbinden und Daten zur Verfügung stellen. Aber einiges an der smarten Technik ist derzeit gar nicht so schlau, wie es auf dem ersten Blick scheint. Ein smartes Messgerät zeigt lediglich, wie Energie genutzt wird, während ein Smart-TV nichts weiter tut, als Fernsehen mit einem Internetanschluss zu kombinieren. Ebenso ermöglichen intelligente Beleuchtung, ferngesteuerte Türschlösser oder intelligente Heizungssteuerungen die Programmierung über ein mobiles Gerät, indem sie einfach die Steuerung von einem Gerät an der Wand in unsere Hände verlegen.

Aber die Technologie bewegt sich ziemlich schnell auf einen Punkt zu, wo sie die Daten und Verbindungen nutzen kann, um im Auftrag des Benutzers zu handeln. Aber um wirklich einen Unterschied zu machen, muss die Technik mehr in den Hintergrund rücken – man stelle sich eine Waschmaschine vor, die erkennt, welche Kleidung man in sie hineingelegt hat. Die Maschine wählt automatisch das richtige Programm aus oder warnt den Nutzer sogar, dass er etwas in sie hinein gelegt hat, die er gar nicht zusammen waschen sollte. Hier ist es wichtig, dass wir die alltäglichen Aktivitäten der Menschen, ihre Beweggründe und die Interaktionen mit intelligenten Objekten besser verstehen, um zu vermeiden, dass diese zu ungebetenen Gästen im Haus werden.

Solche Technologien könnten sogar zum Nutzen aller arbeiten. Die BBC berichtet beispielsweise, dass Energieversorger „die Kosten für jemanden reduzieren können, der es gestattet, dass seine Waschmaschine über das Internet eingeschaltet wird, um den günstigen Solarstrom an einem sonnigen Nachmittag optimal auszunutzen.“ Es gibt auch andere Beispiele. So könne man Gefrierschränke für wenige Minuten ausschalten, um den Verbrauch in Zeiten mit hoher Auslastung auszugleichen.

Das Hauptanliegen in diesem Bereich ist die Sicherheit. Mit dem Internet verbundene Geräte können gehackt werden – und tatsächlich passiert das auch. Erinnern wir uns einmal an den letzten Erpresserangriff. Unser Haus ist der Ort, an dem wir uns doch am sichersten fühlen sollten. Damit sie sich verbreiten, müssen diese Technologien es auch weiterhin aufrechterhalten.

2. Virtuelle Helferlein

Während Assistenten eine sehr wichtige Rolle in Unternehmen spielen, verbringen sie doch oft große Teile ihres Arbeitstages mit zeitraubenden, aber relativ trivialen Aufgaben, die automatisiert werden könnten. Betrachten wir einmal die Organisation eines „einfachen“ Meetings. Sie müssen die richtigen Teilnehmer finden – wahrscheinlich auch über die Geschäftsgrenzen hinaus. Wenn dies geschehen ist, müssen sie nur noch herausfinden, wann all diese Personen Zeit haben. Dies ist nicht gerade eine Wissenschaft.

Tools wie Doodle, die die Verfügbarkeit von Personen vergleichen, um die beste Zeit für ein Meeting herauszufinden, können dabei helfen. Aber diese Tools verlassen sich letztendlich auf diejenigen, die sich aktiv einbringen. Sie sind auch nur dann nützlich, wenn die richtigen Leute bereits kenntlich gemacht wurden.

Durch die Verwendung von Informationen über den Kontext (Tabellen von Organisationen, Standortbewusstsein von mobilen Geräten und Kalendern) wurde die Identifizierung der richtigen Personen und die richtige Zeit für ein gegebenes Ereignis zu einem technischen Optimierungsproblem, das von einem EU-finanzierten InContext-Projekt vor einem Jahrzehnt erforscht wurde. In diesem Stadium war die Technologie für das Sammeln von Kontextinformationen aber noch weit weniger fortgeschritten. Smartphones waren immer noch eine Seltenheit und Datengewinnung und Datenerarbeitung waren noch nicht so weit wie heute. Im Laufe der Jahre konnten wir aber auch Maschinen sehen, die weit mehr in der täglichen Planung innerhalb von Unternehmen übernahmen.

In der Tat kann die Rolle der virtuellen Assistenten weit über die Terminplanung und die Organisation von Terminkalendern hinausgehen – sie können Projektleitern helfen, das richtige Team zusammenzustellen und ihnen die richtigen Aufgaben zuzuordnen, damit jeder Job effizient durchgeführt wird.

Auf der Schattenseite greift ein Großteil der benötigten Kontextinformationen doch sehr in die Privatsphäre ein – aber dann ist da die jüngere Generation, die freudig jede Minute auf Twitter und Snapchat teilt und solche Bedenken können im Laufe der Zeit weniger bedeutend werden. Und wo sollen wir die Grenze ziehen? Akzeptieren wir den „Aufstieg der Maschinen“ vollständig und automatisieren so viel wie möglich? Oder sollen echte Menschen in ihren täglichen Aufgaben beibehalten und Roboter nur benutzt werden, um wirklich triviale Aufgaben zu erfüllen, die niemand anderes erledigen will? Diese Frage muss beantwortet werden – und zwar bald.

3. Ärzte mit künstlicher Intelligenz

Wir leben in aufregenden Zeiten – in der Medizin und bei der KI-Technik gibt es immer mehr Fortschritte, die die Zukunft der Gesundheitsversorgung rund um die Welt gestalten. Doch wie würden wir uns bei einer Diagnose von einer künstlichen Intelligenz fühlen? Eine private Firma namens Babylon Health ist bereits dabei, in fünf Londoner Stadtbezirken zu testen, wo die Beratung von einem Chatbot für Nicht-Notrufe unterstützt wird. Die künstliche Intelligenz wurde mit Massen an Patientendaten ausgebildet, um die Benutzer zu beraten, in die Notfallabteilung eines Krankenhauses zu gehen, eine Apotheke zu besuchen oder einfach zu Hause zu bleiben.

Das Unternehmen behauptet, dass es bald in der Lage sein wird, ein System zu entwickeln, das Ärzte und Krankenschwestern bei der Diagnose übertreffen könnte. In Ländern, in denen es einen Mangel an medizinischem Personal gibt, könnte dies die Gesundheitsversorgung erheblich verbessern, so dass die Ärzte, die vor Ort sind, sich auf die Behandlung konzentrieren können, statt zu viel Zeit für eine Diagnose zu opfern. Dies könnte maßgeblich die klinische Rolle und Arbeitsabläufe von medizinischem Personal bestimmen.

Andererseits können IBM Watson, die CloudMedx-Plattform und die Deep Genomics-Technologie den Klinikern Einblicke in die Daten der Patienten und vorhandene Behandlungen geben, ihnen helfen fachkundigere Entscheidungen zu treffen und sogar bei der Entwicklung neuer Behandlungen zur Seite stehen.

Die wachsende Anzahl an mobilen Apps und Self-Trackern wie Fitbit, Jawbone Up und Withings könnte nun die Erfassung von Patientenverhalten, Behandlungsstatus und Aktivitäten erleichtern. Es ist durchaus vorstellbar, dass bald auch unsere Toiletten intelligenter werden und dazu genutzt werden, den Urin und den Kot der Menschen zu untersuchen, um dann eine Echtzeit-Risikobewertung für bestimmte Krankheiten zu liefern.

Um jedoch eine weit verbreitete Einführung der KI-Technologie im Gesundheitswesen zu ermöglichen, müssen viele berechtigte Bedenken angesprochen werden. Schon jetzt wurden Punkte wie Benutzerfreundlichkeit, Gesundheitskompetenz, Datenschutz, Sicherheit, inhaltliche Qualität und Vertrauensfragen mit vielen dieser Anwendungen gemeldet.

Außerdem werden die klinischen Richtlinien zu selten eingehalten. Ethische Bedenken und nicht übereinstimmende Erwartungen hinsichtlich der Erhebung, Kommunikation, Nutzung und Speicherung der Daten des Patienten kommen als Kritikpunkte zusätzlich hinzu. Darüber hinaus müssen die Grenzen der Technik deutlich gemacht werden, um Fehlinterpretationen zu vermeiden, die den Patienten möglicherweise schaden könnten.

Wenn KI-Systeme diese Herausforderungen angehen und sich auf das Verständnis und die Verbesserung der vorhandenen Pflegepraktiken und der Arzt-Patienten-Beziehung konzentrieren können, dann können wir erwarten, dass zunehmend erfolgreiche Berichte von datengesteuerten Gesundheitsinitiativen entstehen.

4. Pflegeroboter

Werden wir Roboter haben, die uns die Haustüren öffnen? Vielleicht ja. Werden sie in den meisten Häusern vorhanden sein? Selbst, wenn sie preiswert sind – wahrscheinlich wird das nie passieren. Was die erfolgreichen, intelligenten Technologien von den erfolglosen unterscheidet, ist, wie nützlich sie sind. Und wie nützlich sie sind, hängt vom Kontext ab. Für die meisten Menschen ist es wahrscheinlich nicht so nützlich, dass ein Roboter die Tür für sie öffnet. Doch man stelle sich vor, wie hilfreich eine Roboter-Empfangsdame an Orten sein könnte, wo Personalmangel herrscht, wie beispielsweise in Pflegeheimen für ältere Menschen.

KI-Roboter, die beispielsweise über eine Sprach- und Gesichtserkennung verfügen, können mit den Besuchern interagieren, um zu prüfen, wen sie besuchen möchten und ob ihnen der Zugang zum Pflegeheim gestattet ist. Nach der Überprüfung können Roboter mit Leitalgorithmen den Besucher zu der Person führen, die sie besuchen möchten. Dies könnte es den Mitarbeitern ermöglichen, mehr Zeit mit den älteren Menschen zu verbringen und ihren Lebensstandard dadurch zu verbessern.

Die KI benötigt aber noch eine weitere Fortentwicklung, um selbständig zu arbeiten. Immerhin: Die jüngsten Ergebnisse sind positiv. Die DeepFace-Software von Facebook war in der Lage, Gesichter mit 97,25 Prozent Genauigkeit zuzuordnen, als diese mit einer Standard-Datenbank von Forschern benutzt wurde, um das Problem der uneingeschränkten Gesichtserkennung zu studieren. Die Software basiert auf Deep Learning (maschinellem Lernen), einem künstlichen neuronalen Netzwerk, das aus Millionen von neuronalen Verbindungen besteht, die automatisch in der Lage sind, Wissen aus Daten zu beschaffen.

5. Fliegende Lagerhallen und selbstfahrende Autos

Selbstfahrende Autos sind wohl eine der erstaunlichsten Technologien, die derzeit untersucht werden. Trotz der Tatsache, dass sie Fehler machen können, können sie tatsächlich sicherer sein als menschliche Fahrer. Dies liegt zum Teil daran, dass sie eine Vielzahl von Sensoren verwenden können, um Daten über ihre Umwelt zu sammeln, einschließlich 360-Grad-Ansichten rund um das Auto.

Darüber hinaus könnten sie potenziell miteinander kommunizieren, um so Unfälle und Staus zu vermeiden. Neben der Bereicherung für die breite Öffentlichkeit sind selbstfahrende Autos wahrscheinlich auch für die Lieferfirmen sehr nützlich. Sie können Kosten sparen und schneller und effizienter liefern.

Man muss hier noch eine Menge weiterentwickeln, um den weitverbreiteten Einsatz solcher Fahrzeuge zu ermöglichen. Hierbei geht es nicht nur darum, dass sie besser lernen sollen, sich selbständig auf belebten Straßen zu bewegen, sondern auch darum, einen ordnungsgemäßen rechtlichen Rahmen zu schaffen. Trotzdem nehmen die Fahrzeughersteller schon jetzt an ein Rennen gegen die Zeit teil, um zu sehen, wer als Erster ein selbstfahrendes Auto für die Massen produzieren kann. Man nimmt an, dass das erste voll autonome Auto bereits im nächsten Jahrzehnt verfügbar sein könnte.

Es ist unwahrscheinlich, dass dieser Fortschritt bei selbstfahrenden Autos oder Lastwagen aufhören wird. Amazon hat vor Kurzem ein Patent für fliegende Lagerhäuser eingereicht, die Orte erreichen können, bei denen die Nachfrage nach bestimmten Produkten sehr wahrscheinlich boomen wird. Die fliegenden Lager würden dann autonome Drohnen für Lieferungen aussenden. Es ist nicht bekannt, ob Amazon bei der Entwicklung solcher Projekte wirklich vorankommen wird, aber Tests mit autonomen Drohnen wurden bereits erfolgreich durchgeführt.

Dank der Technologie ist die Zukunft bereits hier – wir müssen nur ernsthaft darüber nachdenken, wie diese am besten geformt werden kann.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Thought“ by TeroVesalainen (CC0 Public Domain)


The Conversation

Weiterlesen »

Chance oder Gefahr? Forscher und Ethiker müssen bei der Schnittstellentechnologie zusammenarbeiten

Brain (Image by HypnoArt [CC0 Public Domain], via Pixabay

In dem 1995 erschienenen Film “Batman Forever” bedient sich der Riddler während seiner Jagd auf die wahre Identität Batmans des 3D-Fernsehens, um sich heimlich Eintritt zu den intimsten Gedanken der Zuschauer zu verschaffen. Im Jahr 2011 übernahm das Marktforschungsunternehmen Nielsen die Firma Neurofocus und erstellt eine Abteilung für die „Neurowissenschaft der Konsumenten“, welche integrierte bewusste und unbewusste Daten nutzt, um das Entscheidungsverhalten von Konsumenten zu dokumentieren. Was einst eine verruchte Intrige eines Hollywood Blockbusters war, scheint auf dem besten Weg zu sein, Realität zu werden.

Die neusten Mitteilungen über die Gehirn-Computer-Schnittstellentechnologie (engl.: brain computer interface, kurz: BCI) von Elon Musk und Facebook sind nur die aktuellsten Schlagzeilen in einer Geschichte, in der Science Fiction real wird.

Die BCI-Technologie benutzt Signale des Gehirns, um Objekte der äußeren Welt zu kontrollieren. Sie sind potentiell eine weltverändernde Innovation – man stelle sich vor, dass es möglich ist, gelähmt, aber dennoch in der Lage zu sein, mit Hilfe einer Armprothese Dinge fassen zu können, in dem man einfach nur daran denkt. Doch die revolutionäre Technologie lässt auch Bedenken aufkommen. Am Center for Sensorimotor Neural Engineering (CSNE) der Universität Washington erforschen wir und unsere Kollegen die BCI-Technologie – und ein zentraler Bestandteil dieser Forschung beinhaltet die Arbeit an Themen wie Neuroethik und Neurosicherheit. Ethiker und Ingenieure arbeiten hier zusammen, um Risiken zu verstehen und zu quantifizieren und um Wege zu finden, um die Öffentlichkeit zu schützen.

P300-Signale aufnehmen

Die gesamte BCI-Technologie basiert auf der Möglichkeit, in der Lage zu sein, Informationen eines Gehirns zu sammeln, die dann von einem Gerät benutzt oder weiterverarbeitet werden können. Es gibt zahlreiche Orte, von denen diese Signale aufgenommen werden können und unendlich viele Wege, diese Daten auszuwerten, sodass es verschiedene Möglichkeiten gibt, das BCI zu benutzen.

Ein paar BCI-Forscher konzentrieren sich auf eine bestimmte Art wiederkehrender Gehirnsignale, die immer dann aufkommen, wenn es zu wichtigen Veränderungen in unserer Umgebung kommt. Neurowissenschaftler nennen diese Signale „Ereignisbezogene Potentiale“. In der Praxis helfen sie uns, auf einen Stimulus die passende Reaktion zu identifizieren.

Examples of event-related potentials (Image by Tamara Bonaci via Theconversation)q
Examples of event-related potentials (Image by Tamara Bonaci via Theconversation)

Genaugenommen aktivieren wir eines dieser spezifischen Signale mit dem Namen P300. Es ist der positive, elektrische Höhepunkt, der im Hinterkopf 300 Millisekunden nach dem Stimulus entsteht. Das P300-Signal alarmiert den Rest unseres Gehirns dass sich hier ein „Sonderling“ befindet, der innerhalb der restlichen Umgebung eindeutig auffällt.

Würden wir in einem Park beispielsweise nach unseren Freunden suchen, würden wir uns nicht auf die Gesichter der einzelnen Personen konzentrieren. Würden wir die Hirnsignale aufnehmen, wenn jemand die Menschenmenge absuchen würde, wäre hier stattdessen eine eindeutig wahrnehmbare Reaktion des P300-Signals, wenn wir jemanden sehen, der unser Freund sein könnte. Das Signal überliefert eine unterbewusste Nachricht, die uns auf etwas Wichtiges hinweist, das Aufmerksamkeit verdient. Diese Signale sind Teil eines bisher noch unbekannten Pfades im Gehirn, der die Wahrnehmung und die Konzentration unterstützt.

Gedankenlesen durch P300-Signale

P300-Signale treten zuverlässig immer dann auf, wenn wir etwas Seltenes oder Fragmentiertes wahrnehmen. Zum Beispiel, wenn das T-Shirt, dass man gesucht hat, im Kleiderschrank sieht oder wenn man eine Parklücke findet. Forscher können das P300-Signal in einer experimentellen Umgebung verwenden, um festzustellen, was uns wichtig ist. Das führt auf Hilfsmittel wie ‚Buchstabierer‘ zurück, die Menschen mit Lähmungen dazu bringen, Kraft ihrer Gedanken einzelne Buchstaben zu tippen.

Es kann auch dazu verwendet werden, festzulegen, was man weiß – dieses Vorgehen wird der „Schlechte-Gewissens-Test“ genannt. Im Labor werden Untersuchungsobjekte dazu aufgefordert, sich eine Sache zum „Stehlen“ oder Verstecken auszusuchen, danach werden ihnen viele Bilder von Dingen mit und ohne Bezug zur ausgesuchten Sache gezeigt. Wählen Subjekte beispielsweise zwischen einer Uhr und einer Halskette und werden ihnen dann typische Objekte einer Schmuckschachtel gezeigt, wird das P300-Signal aufkommen, sobald dem Subjekt das Bild mit der ausgewählten Sache gezeigt wird.

Jedes P300-Signal ist einzigartig. Je nachdem, wonach Forscher suchen, benötigen sie Daten für das „Training“. Diese sind vor allem erhaltene Gehirnsignale, von denen die Forscher überzeugt sind, dass sie P300er enthalten; sie benutzen diese dann, um das System zu kalibrieren. Wenn der Test also ein unterbewusstes Nervensignal misst, von dem man nicht einmal wusste, dass man es hervorbringt, kannst man dieses bewusst verfälschen? Vielleicht, wenn man weiß, dass man untersucht wird und was genau die Stimuli dafür sind.

Techniken wie diese gelten immer noch als unzuverlässig und ungeprüft, deswegen haben US-amerikanische Gerichte die Anerkennung von Daten aus Untersuchungen mit P300 als Beweismaterial nicht zugelassen.

BCI technologie (Image by Mark Stone via Theconversation)
BCI-Technologie (Image by Mark Stone via Theconversation)

Man stelle sich vor, dass das P300-Signal nicht genutzt wird, um das Rätsel der „gestohlenen Sachen“ im Labor zu lösen, sondern dass jemand diese Technologie nutzt, um Informationen über unsere Geburtsdaten oder unsere Hausbank zu extrahieren – ohne sie ihm zuvor mitzuteilen. Unsere Forschungsgruppe hat Daten gesammelt, die aufzeigen, dass genau das möglich ist. Nur durch die Nutzung der Gehirnaktivität eines Individuums – speziell dessen P300-Signale – könnten wir die Vorlieben des Einzelnen für eine Kaffeemarke oder den Lieblingssport feststellen.

Das könnten wir allerdings nur, wenn subjektspezifische Trainingsdaten vorliegen. Was, wenn wir die Vorlieben einer Person ohne Vorwissen über deren Gehirnsignalaktivitäten herausfinden könnten? Ist ein Training nicht notwendig, könnten Benutzer einfach ein Device aufsetzen und losgehen, ohne das persönliche Trainingsprofil laden oder die Kalibrierung abwarten zu müssen. Die Forschung an vorbereiteten und unvorbereiteten Geräten ist Mittelpunkt der stetigen Experimente der Universität in Washington und an anderen Orten.

Spätestens, wenn die Technologie in der Lage ist, die Gedankenwelt einer Person zu lesen, ohne dass diese aktiv kooperiert, kommt es zu einem teilweise akuten ethischen Problem. Alles in Allem veröffentlichen wir bereits die ganze Zeit schon Teile unserer Privatsphäre bewusst – wenn wir den Mund öffnen, um uns zu unterhalten oder wenn wir GPS-Geräte benutzen und in diesem Zuge den Firmen erlauben, Daten über uns zu sammeln. Aber in diesen Fällen sind wir damit einverstanden, das zu teilen, was sich in unseren Köpfen befindet. Der Unterschied zur noch nicht voll entwickelten P300-Technologie zukünftiger Generationen besteht darin, dass der Schutz, den uns die Einverständniserklärung gibt, komplett umgangen werden könnte.

Was, wenn es möglich ist, das, was wir denken und planen, zu dekodieren, ohne dass wir es mitbekommen? Würden wir uns angegriffen fühlen? Würden wir einen Kontrollverlust verspüren? Die Auswirkungen auf die Privatsphäre werden vielfältig sein. Vielleicht könnten Werbeagenturen bereits herauslesen, welche Marken wir bevorzugen und uns personalisierte Werbung schicken, was vielleicht recht angenehm, aber sicherlich auch seltsam sein könnte. Oder bösartige Instanzen könnten unsere Bank und die PIN herausfinden. Das wäre eine eindeutige Warnung.

Aus großer Macht folgt große Verantwortung

Die potentielle Möglichkeit, individuelle Vorlieben und persönliche Informationen anhand der eigenen Hirnsignale festzustellen, hat eine Zahl schwieriger, aber akuter Fragen aufgeworfen: Sollten wir in der Lage sein, unsere Nervensignale zu privatisieren? Wenn ja, sollte dann so etwas wie neurale Sicherheit ein Menschenrecht sein? Wie schützen und bewahren wir all die Daten, die für Forschung und auch bald für Freizeit gesammelt werden, adäquat auf? Woher wissen Konsumenten, ob irgendeine geschützte oder anonymisiere Messung ihrer Nervendaten durchgeführt wird? Bis jetzt sind nervenbezogene Daten, die für die kommerzielle Nutzung gesammelt werden, nicht unter dem gleichen Rechtschutz wie biomedizinische Forschung oder das Gesundheitswesen gefasst. Sollte neurologisches Datenmaterial anders behandelt werden?

Das ist die Art von Rätsel, die sich neurologische Forscher und Ethiker in einer Zusammenarbeit stellen sollten. Ethiker neben Forschern ins Labor zu setzen, so wie wir es in der CSNE gemacht haben, ist eine Möglichkeit, um zu garantieren, dass die Privatsphäre und die Sicherheitsrisiken von Neurotechnologien und andere ethisch wichtige Themen einen aktiven Teil der Forschung darstellen – und nicht nur ein nachträglicher Gedanke sind.

Tim Brown beispielsweise ist ein Ethiker an der CSNE, der in einem Labor der neurologischen Ingenieure „untergebracht“ wurde, was ihm erlaubt, täglich mit den Forschern über ethische Bedenken zu sprechen. Er ist außerdem einfach in der Lage, mit Forschungssubjekten zu interagieren und sie in Bezug auf ihre ethischen Bedenken über Gehirnforschung direkt zu interviewen.

Es gibt immer noch wichtige ethische und rechtliche Lektionen über Technologie und Privatsphäre in anderen Bereichen, wie Genetik oder Neuromarketing. Aber es scheint so, als wäre da etwas anderes Wichtiges, wenn es um das Lesen neurologischer Daten geht. Sie sind intimer mit unserer Gedankenwelt verknüpft und damit, wie wir uns selbst sehen. Damit erlangen ethische Themen, durch BCI-Nachfrage induziert, besondere Aufmerksamkeit.

Ethische Debatten, während die Technologie noch in Kinderschuhen steckt

Während wir damit kämpfen, herauszufinden, wie Privatsphäre und Sicherheit in diesem Zusammenhang am besten in Angriff genommen werden soll, gibt es zwei Faktoren in der aktuellen P300-Technologie, die uns Zeit verschaffen werden.

Erstens benutzen die meisten kommerziellen Geräte trockene Elektroden, deren Fähigkeit, elektronische Signale zu empfangen, auf Hautkontakt beruht. Diese Technik ist anfällig für Störsignale, was bedeutet, dass wir nur relativ grundlegende Formen von Informationen von einem Benutzer aussondern können. Die Hirnsignale, die wir aufnehmen, sind aufgrund Dingen wie der Elektroden-Bewegung und der sich ständig verändernden Natur von Hirnsignalen im höchsten Maße variabel – auch bei ein und derselben Person. Zweitens befinden sich Elektroden nicht immer in einer idealen Lage, um aufgenommen zu werden.

Letztlich bedeutet diese mangelnde Verlässlichkeit, dass BCI-Geräte momentan nicht annähernd so allgegenwärtig sind, wie sie in der Zukunft sein könnten. Da sich Elektroden-Hardware und die Signalverarbeitung ständig verbessern, wird es einfacher sein, diese Geräte weiterhin zu benutzen. Es wird auch einfacher sein, an persönliche Informationen zu einer anonymen Person zu gelangen.

Der sicherste Rat wäre, diese Maschinen überhaupt nicht mehr zu benutzen.
Das Ziel sollte sein, dass ethische Standards und die Technik so zusammenkommen, dass sichergestellt wird, dass zukünftige Benutzer darauf vertrauen, während der Benutzung dieser Geräte die Privatsphäre geschützt zu wissen. Es ist eine seltene Chance der Zusammenarbeit von Wissenschaftlern, Ingenieuren, Ethikern und letztlich auch der Regierungen, um Produkte zu entwickeln, die noch besser sind, als jene, die sich die Science Fiction erträumt hat.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) Brain by HypnoArt (CC0 Public Domain)


The Conversation

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • FACEBOOK t3n: Facebook: WLAN-Suchfunktion ab heute weltweit verfügbar: Der Social-Network-Betreiber hat die vor einem Jahr vorgestellte WLAN-Suchfunktion nun auch in Deutschland gestartet. Unter dem Menüpunkt „WLAN finden“ kann die App nach verfügbaren WLAN Netzen Suchen und soll in Gebieten mit schlechter Abdeckung von Mobilfunk helfen, schnellen Zugang zu freiem Internet zu finden. Angezeigt werden Hotspots von Geschäften und Unternehmen. Mit dieser Idee ist Facebook jedoch nicht das Erste Angebot, es gibt seit Langem Apps wie Wifi Finder oder WifiMapper.

  • WINDOWS heise: Indien will Windows-Rabatt um Erpressungstrojaner auszubremsen: Aufgrund der neuen Cyber-Attacken wie zum Beispiel „WannaCry“ fordert Indien von Windows ihre Software zu rabattieren. Die Grundlage für viele anfällige Systeme sind veraltete Installationen. Windows habe in Indien über 50 Millionen Nutzer, die von diesem Angebot profitieren könnten. Microsoft habe den Forderungen von Indiens Cyber-Sicherheitskoordinator prinzipiell zugestimmt, der eine Senkung auf höchstens ein Viertel des regulären Preises fordert. Sollte Windows sich auf diese Forderungen einlassen, ist mit weiteren Forderungen anderer Länder zu rechnen.

  • HACKING new york times: Hackers Find ‘Ideal Testing Ground’ for Attacks: Developing Countries: Immer wiederkehrende Cyber-Attacken durch Ransomware oder anderweitige Erpressersoftware werden von Hackergruppen auf die Gesellschaft angesetzt. Forscher haben nun festgestellt, dass viele der Attacken zuerst in Indien getestet wurden. Dort wurde zum Beispiel erstmals künstliche Intelligenzen gefunden. Gründe hierfür sind die geringeren Sicherheitsstufen in Entwicklungsländern mit einer Instanz anstelle von einem großen Sicherheitsnetzwerk. Durch die Tests in diesen einfach zugänglichen Gruppen können die künstlichen Intelligenzen vom Verhalten der gehackten Netzwerke lernen, um besser geschützte Netzwerke im Westen einfacher zugänglich zu machen.

  • DROHNE faz: Facebook-Drohne absolviert erfolgreichen Flug: Facebooks Internet Drohne hat ihren ersten erfolgreichen Flug absolviert. Mit dieser Idee möchte Facebook Internet in entlegene Gebiete bringen. „Aquila“ soll monatelang autonom über diesen abgelegenen Bereichen ohne Internetzugang schweben und ein Netzwerk schaffen um Zugang zu Internet für alle zu gewährleisten. Facebook trifft hierbei auf Widerstand sowohl der Regierung als auch von Netzbetreibern. Bei ihrem ersten Flug im vergangenen Jahr wurde die „Aquila“ schwer beschädigt.

  • FLUGSICHERHEIT bloomberg: Emirates to Use Face Scanners to Cut Waits as U.S. Ban Looms: Der Fluggesellschaft Emirates führt Gesichtserkennungssoftware ein, um den Boarding Prozess zu verkürzen. Nach einer Mitteilung der Airline können Passagiere biometrische Selfies hochladen, die an den Sicherheitscheckpoints gescannt werden können. Der Flughafen in Dubai, dem Hauptstandort von Emirates, leide zunehmend unter der Last von Passagieren. Weitere Airlines, die diese Technologien momentan testen sind British Airways, KLM und die amerikanische Airline Delta.

Weiterlesen »

Dollar, Diebe und Dateien: Ein Blick auf den Schwarzmarkt für Ransomware

Network (adapted) Image by Martinelle (CC0) via Pixabay

Der Angriff der Ransomware “WannaCry” hat Regierungen und Unternehmen weltweit in Alarmbereitschaft versetzt. Allerdings existiert der Schwarzmarkt für Exploits und Software Schwachstellen mindestens seit den 1990ern. Der Austausch über diese Schwachstellen fing bereits in der Anfangszeit der Computer an, hauptsächlich mit Telefon “Phreaking”. Also dem manipulieren von Geräten für die Telekommunikation.

Dem Massachusetts Model Railway Club wird zugeschrieben, ab den 1960er eine Hacker-Subkultur beherbergt zu haben. Von da an entwickelte sie sich in einen globalen Markt für den Verkauf von Exploits und Exploit Kits. Darunter gehören Hacking-Tools wie Blackhole, Zeus und Spyeye, manchmal auch als „Script Kiddies“ bezeichnet, weil die benötigten Programmierfähigkeiten eher trivial sind und die Hacks mithilfe eines menübasierten Programms erstellt werden.

Der russische Markt für Kreditkarten, der sich in den 1990ern zunächst als Online-Forum für gestohlene Kreditkarten entwickelte, verwandelte sich in ein ausgeklügeltes Geschäftsunternehmen. Es ahmte legale Online Märkte wie beispielsweise Ebay nach – mit anderen Worten: Die Kriminellen kommerzialisierten ihr Geschäft. Die “Australian Communication Media Authority’s Spam Intelligence Database” zeigte, dass durch Spam verbreitete Malware, die die Fähigkeit hatten, Daten in ungeschützten Computersystemen zu sperren, Anfang 2012 auftauchte und sich ab 2013 verbreitete.

Der moderne Malware-Markt

Die Industrialisierung eines Marktes für Cyberkriminalität entwickelte sich mit dem Aufkommen von virtuellen Privatnetzwerken (VPN) und The Onion Router (TOR) in der Mitte der 2000er rasant. Der Comprehensive Report on Cybercrime der UNODC aus dem Jahr 2013 markierte die Wichtigkeit dieser Märkte bei der Verbreitung von kommerzialisierten Hacking-Tools. Der Bericht der RAND Corporation über den Hacker Bazaar aus dem Jahr 2014 stellte fest: „Die Schwarzmärkte wachsen in ihrer Größe und Komplexität. Der Markt für Hacker, einst eine vielfältige Landschaft von diskreten, direkt verfügbaren Netzwerken von Einzelpersonen, die ihr Ego und ein möglicher Ruhm antrieb, hat sich inzwischen in einen Spielplatz für finanziell motivierte, hoch organisierte und entwickelte Gruppen verwandelt. Schwarzmärkte und halblegale Märkte für Hacking-Tools, Hacking als Dienstleistung und deren Belohnung bekommen immer mehr Aufmerksamkeit, je mehr Angriffe und Angriffsmechanismen mit diesen in Verbindung gebracht werden.“

Der Gefahrenbericht des Australian Cyber Security Centre aus dem Jahr 2015 hebt die Entwicklung von Cyberkriminalität als Dienstleistung hervor, mit der Einführung von neuen Geschäftsmodellen für Cyberkriminelle und ihrer steigenden Verbreitung und Weiterentwicklung. Gavin Corn, der Staatsanwalt der Abteilung für Cyberkriminalität des FBI, beobachtete, dass die Vernetzung zwischen kriminellen Gruppen durch neue Verschlüsselungsanwendungen deutlich verbessert wurde: „Cyberkriminalität war davor nicht einmal Teil des organisierten Verbrechens und jetzt ist es der Inbegriff dessen.“

Die Entwicklung des Internets hat auch für das rasche Entstehen verschlüsselter und anonymer Technologie gesorgt. Der Wert dieses Schwarzmarktes wird heute auf mehrere hundert Millionen US-Dollar geschätzt. Laut Berichten wurden neuerdings Sicherheitslücken für bis zu 900.000 US-Dollar verkauft. Es werden noch höhere Preise für Sicherheitslücken in besser gesicherten Systemen wie beispielsweise das Apple iOS bezahlt, niedriger istb der Preis für ältere Betriebssysteme wie Windows XP. Der Markt beschäftigt sich auf gewisse Weise mehr mit Tests und Evaluationen als vor dem Kauf. Die Branche ist dem Geschäft für Kartenbetrug in dem Punkt ähnlich, als dass sie versucht, einen stabilen und zuverlässigen Service anzubieten, der zur weiteren Benutzung aufrufen soll.

Nicht nur der Schwarzmarkt ist Schuld

Wenn es auf die Effektivität der Produkte ankommt – wie dies bei Malware oder Ransomware der Fall ist – sind Unternehmen mit laschen Sicherheitsmaßnahmen besonders gefährdet. Legale Sicherheitstests durch Cyber-Sicherheitsfirmen und nationale Sicherheitsagenturen, die ihr digitales Arsenal für offensive Zwecke aufrüsten wollen, sind ebenfalls an der Wertsteigerung von Exploits schuld. Die geheime Beschaffung von Sicherheitslücken lässt viele Benutzer im Dunkeln über den “Bug” und verhindert die legale Jagd nach der Fehlfunktion.

Außerhalb des Netzes sollte jede Firma, die im Onlinemarketing arbeitet oder anderweitig vom Internet abhängig ist, ebenso eine Sicherheitsfirma sein. Eindringlinge, die es auf vertrauliche Daten oder Dienstleistungen abgesehen haben, sind jetzt normal und können das Vertrauen in ein Unternehmen zerstören. Ein herausragendes Problem sind ältere Computersysteme oder ältere Systeme, die nicht mehr vom Verkäufer unterstützt werden. Windows XP ist ein gutes Beispiel dafür und Exploits zielen immer öfter auf diese älteren Systeme. Man schätzt, dass die Hälfte aller Webseiten noch immer über das veraltete Http-Skriptformat laufen, statt über das besser gesicherte Https-Skript, das zugleich Industriestandard ist.

Das Erbe älterer Webseitenformate setzt alle dem Risiko aus, von Cyberkriminellen gehackt zu werden. Diese Kriminelle kapern Webseiten und erstellen Fake-Webseiten, um ihre Opfer auf diese umzuleiten. Die Opfer laden dann Trojaner und andere Malware unbewusst herunter. Die massenhafte Verbreitung der “WannaCry”-Ransomware macht die Verschiebung der von Spezialisten individuell auf einzelne Ziele erstellten Programme zur Fähigkeit, zahlreiche gefährdete Computer und Netzwerke zugleich zu befallen, deutlich. Zusammen mit der Schaffung von Botnets (ein Computernetzwerk, das auch ferngesteuert werden kann), die oft benutzt werden, um massenweise Spam-Mails oder Social-Media-Nachrichten zu verbreiten, steigt das Ausmaß dieser Ereignisse.

Diese Art von Angriffen wird im besten Fall als “Weapons of mass annoyance” (dt.: „Massen-Nerv-Waffen“) bezeichnet. Sie sind also störend, aber ziehen keine weiteren Konsequenzen nach sich. Allerdings sind kampagnenartige Angriffe dieser Art inzwischen leider normal. Diese sind in der Lage, gut gebaute Nachrichten zu verbreiten, die die Benutzer dazu bringt, gefährdete Webseiten zu besuchen und so bestimmte Dateien herunterladen, die ihre Daten verschlüsseln.

Bei anderen Angriffen können durch nicht gepatchte Bugs oder ältere Systeme versteckte Programme die Tastenanschläge aufzeichnen oder das Betriebssystem des Computers manipulieren. Der Begriff der “Digitalen Teilung”, dass also einige den Zugang zu bestimmter Technologie haben und andere nicht, trifft auch auf die Sicherheit zu. Konsumenten und Unternehmen, die die Vertrauenswürdigkeit ihres Onlineaustauschs immer wieder kontrollieren, werden vor eine echte Herausforderung gestellt. Denn Kriminelle können mit Leichtigkeit perfekte Kopien von bekannten und vertrauenswürdigen Unternehmen erstellen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Network“ by Martinelle(CC0 Public Domain)


The Conversation

Weiterlesen »

WhatsApp-Überwachung: Neue Forderungen verfehlen das Ziel

spy-whatsapp-messages (adapted) (Image by Sam Azgor [CC BY 2.0] via Flickr)

Bayerns Innenminister Joachim Herrmann (CSU) fordert eine juristische Grundlage für den Zugriff der Bundesbehörden auf WhatsApp-Kommunikation. Das soll nach Ansicht des Ministers bei der Terrorismus-Bekämpfung helfen. Hermanns Äußerungen zeigen, dass die gefährliche und kontraproduktive Idee, Hintertüren in Software einzubauen, noch immer nicht gänzlich tot und begraben ist (und im Wahlkampf nur allzu gerne reaktiviert wird). Es wird Zeit, dass sich das ändert.

Joachim Hermann fordert WhatsApp-Überwachung

Gegenüber der in Düsseldorf erscheinenden Zeitung „Rheinische Post“ sagte Herrmann: „Wir wissen, dass die Terroristen WhatsApp nutzen, deshalb müssen wir die gesetzliche Kontrollmöglichkeit nach der Wahl sofort angehen.“ Herrmann kritisierte die SPD dafür, dass sich bislang in dieser Sache nichts getan hat. Er sagte: „Seit einem Jahr mahnen wir das bei der SPD an, geschehen ist nichts.“

Staatstrojaner oder Backdoor

Wie genau er sich die technische Umsetzung seiner Forderungen vorstellt, sagte Herrmann nicht. Es gibt allerdings nicht viele realistische Möglichkeiten. WhatsApp-Chats sind seit letztem Jahr standardmäßig verschlüsselt. Die Verschlüsselung ist so umgesetzt, dass die Daten auf dem kompletten Übertragungsweg geschützt sind, und bestand schon mehrere Audits und Tests von IT-Sicherheitsfachleuten. Das lässt Angreiferinnen und Angreifern, selbst staatlichen mit entsprechenden Mitteln, nicht viele Optionen.

Joachim Herrmann (adapted) (Image by JouWatch [CC BY-SA 2.0] via flickr)
Möchte gern in euer Handy schauen: Joachim Herrmann (adapted) (Image by JouWatch [CC BY-SA 2.0])

Eine mögliche – wenn auch aufwändige – Variante wäre der Einsatz eines sogenannten Staatstrojaners, also einer von den Behörden entwickelten und gesteuerten Schadsoftware, die die Daten direkt bei einem der Gesprächspartner abgreift. Dieses Vorgehen birgt eine ganze Reihe von Risiken, von der Kompromittierung des betroffenen Systems mit nachfolgendem Eindringen böswilliger Dritter bis hin zur Möglichkeit, dass die staatliche Schadsoftware oder die zu ihrer Platzierung vorgesehenen, meist bewusst offen gelassenen Sicherheitslücken Kriminellen in die Hände fallen. Dass Letzteres keineswegs nur ein unrealistisches Horrorszenario ist, zeigt sehr deutlich der Fall des destruktiven Ransomware-Schädlings WannaCry.

Die zweite, noch bedenklichere Variante ist die bewusste Platzierung einer Backdoor – also einer zusätzlichen Zugriffsmöglichkeit – für die Behörden. Davon abgesehen, dass die Software-Anbieter dem kaum zustimmen dürften – immerhin gehört WhatsApp zu Facebook, also einem US-Unternehmen, das nicht an deutsches Recht gebunden ist – ist diese Option alles andere als wünschenswert. Wie staatliche Schadsoftware kann auch eine solche Backdoor Kriminellen in die Hände fallen, sei es durch einen Insider, der entsprechende Informationen weitergibt, oder schlichtweg durch einen Angreifer mit Fertigkeiten in der IT-Forensik und womöglich einem Quäntchen Glück. In diesem Fall wären die sensiblen Daten sämtlicher WhatsApp-Nutzerinnen und -Nutzer gefährdet.

Gefährlich und ineffektiv

Zusammenfassend lässt sich sagen, dass es keine realistische Möglichkeit gibt, Joachim Herrmanns Forderungen auf eine Art und Weise umzusetzen, die die IT-Sicherheit und den Datenschutz nicht in unverantwortlicher Weise schwächt. Es ist nicht genau zu sagen, ob der CSU-Minister sich lediglich keine Gedanken über die technischen Hintergründe gemacht hat – was bei einem derartigen Thema zumindest fahrlässig wäre – oder die Vielzahl von negativen Nebeneffekten billigend in Kauf nimmt, um medienwirksam einen scheinbar bedeutsamen Schritt gegen den Terrorismus zu unternehmen.

So oder so müssen Joachim Herrmanns Pläne ebenso energisch bekämpft werden wie ähnliche Forderungen (meist konservativer) Politikerinnen und Politiker im In- und Ausland. Das gilt umso mehr, als eine WhatsApp-Überwachung keineswegs so effektiv gegen den Terrorismus sein dürfte, wie der Minister sich das anscheinend vorstellt. Mitglieder entsprechender Gruppen könnten leicht auf andere, weniger bekannte Dienste ausweichen – oder nutzen ohnehin keine Instant Messenger. Eine Kompromittierung verschlüsselter Kommunikation, gerade im Falle eines so populären Dienstes wie WhatsApp, würde somit vor allem vollkommen unbeteiligte Nutzerinnen und Nutzer mit einem legitimen Interesse an privater und sicherer Telekommunikation treffen.


Image (adapted) „Joachim Herrmann“ by JouWatch (CC BY-SA 2.0)

Image (adapted) „Spy Whatsapp Messages“ by Azgor (CC BY 2.0)


Weiterlesen »

Alte Besen kehren schlecht: Wie gefährdet sind veraltete Computersysteme im öffentlichen Dienst?

PC (adapted) Image by Fifaliana (CC0) via Pixabay

Der kürzlich durchgeführte Cyber-Angriff via eines Verschlüsselungstrojaners (auch: Ransomware), der Krankenhäuser in ganz Großbritannien lahmgelegt hat, macht den nationalen Gesundheitssektor (NHS) zu einem der bekanntesten Opfer dieses globalen Vorfalls. Die Regierung stand in der Kritik, Unterstützungen im IT-Bereich des Gesundheitssektors gekürzt zu haben und veraltete Computersysteme nicht zu ersetzen. Unterdessen schlugen die Minister scharf zurück und warfen dem Management des NHS vor, ihre Cybersicherheit nicht zu verbessern – obwohl zur gleichen Zeit bekannt wurde, dass eine technische Weiterentwicklung, die den Angriff hätte verhindern können, einen Monat vor der Attacke fertiggestellt wurde.

Diese Geschichte ist nicht sonderlich überraschend. Jeder, der selbst regelmäßig mit dem öffentlichen Sektor zu tun hat, wird erlebt haben, dass Regierungsangestellte mit technisch veralteten Computersystemen kämpfen müssen. Sicher – auch andere bedeutende staatliche Organisationen, wie etwa die Deutsche Bahn oder das US-amerikanische Ministerium für Innere Sicherheit, waren von der Ransomware betroffen. Aber hängt der öffentliche Bereich wirklich hinterher, wenn es darum geht, die IT-Sicherheit auf dem neusten Stand zu halten, um Internetkriminalität zu verhindern?

Die neuste „WannaCry“-Attacke konnte aufgrund eines Defekts innerhalb des 15 Jahre alten Betriebssystems Windows XP ihr Ausmaß entfalten. Serviceanbieter erstellen und verkaufen Upgrades und Korrekturen für solche Fehler meist nachdem diese entdeckt werden. Damit soll verhindert werden, dass die Schwachstellen durch Internetkriminalität ausgenutzt werden. Nichtsdestotrotz hat Microsoft die regelmäßige Weiterentwicklung dieses Betriebssystems im Jahr 2014 eingestellt, sodass alle, die es noch nutzen, für Korrekturen einen Serviceaufschlag bezahlen müssen.

Sobald die Firma den WannaCry-Defekt bemerkte, war eine Fehlerkorrektur im März auch schnell auf dem Markt. Da viele Kunden jedoch immer noch veraltete Betriebssysteme in Benutzung hatten, verbreite sich der Trojaner binnen kürzester Zeit auf eine Vielzahl von Geräten, als er im Mai erstmals auftauchte. Microsoft stellte die Fehlerkorrektur dann schnell allen Betriebssystemen zur Verfügung. Viele von ihnen, die das Update nicht unverzüglich installiert hatten, waren aufgeschmissen. Das ist genau das, was dem NHS passierte. 

Die Regierung hat die Notwendigkeit einer grundlegenden Erneuerung des internen IT-Systems schon lange zugegeben. Als der Support für Windows XP im Jahr 2014 eingestellt wurde, habe die Regierung mit einem Update der meisten Geräte innerhalb eines Jahres gerechnet. Berichten zu Folge endete es damit, dass NHS für benutzerdefinierten XP-Service draufzahlte, in dem Versuch, die Chefs des Gesundheitssektors dazu zu ermutigen, ihre Computersysteme auf dem neusten Stand zu halten.  Ein Bericht Ende 2016 deckte jedoch auf, dass 90 Prozent der NHS-Konzerne noch mindestens einen Computer mit Windows XP verwenden.

Der wahrscheinlichste Grund dafür, dass veraltete Systeme weiter genutzt werden, liegt darin, dass ein Update dieser sehr kostspielig ist. In den meisten Fällen verlangt eine neue Version eines Windows-Betriebssystems auch einen neuen, leistungsstärkeren Computer. Damit einher geht oftmals auch die individuelle Abstimmung von Hard- und Software der Firma auf das neue System, damit der alltägliche Betrieb fortgeführt werden kann. Die Röntgenabteilung eines Krankenhauses zum Beispiel, die bisher mit XP gearbeitet hat, benötigt mit einem neuen Computersystem möglicherweise auch eine neue Software, um die Röntgengeräte zu steuern.

Institutionen der öffentlichen Hand haben außerdem den Luxus, direkt auf Regierungsexperten der nationalen Internetsicherheit zurückgreifen zu können. Diese sind in der Lage sicherzustellen, dass entscheidende Dienste wie die des NHS in Betrieb bleiben. Auch wenn dieser jüngste Trojaner-Angriff die Szene notwendigerweise wachrüttelt, gibt es doch ein erkennbares Sicherheitsnetzwerk.

Ein privates Problem

Der WannaCry-Angriff traf jedoch nicht nur den öffentlichen Bereich. Um die 200.000 Opfer in über 150 Ländern waren davon betroffen – nach Angaben der europäischen Polizei Europol sogar bedeutende Großunternehmen wie Nissan, FedEx und Hitachi. Eine Quelle gibt an, dass mehr als 10 Prozent aller Desktop-Computer mit XP laufen und ein Großteil der oben genannten Opfer aller Wahrscheinlichkeit nach kleine Betriebe sind. Allgemein gibt es keinen Hinweis darauf, dass Organisationen des öffentlichen Bereichs überdurchschnittlich unter Cyber-Attacken leiden.

Obwohl das NHS engen finanziellen Rahmenbedingungen unterliegt, haben staatliche Institutionen ein großes Spektrum an Möglichkeiten, Cyber-Attacken auf ein Minimum zu reduzieren und können an signifikante Geldmengen gelangen, wenn die Politiker zustimmen. Allein in Großbritannien hat das Zentrum für nationale Internetsicherheit 1,9 Milliarden Euro zur Verfügung

Für kleine Betriebe, die keinen einfachen Zugang zu finanzieller Unterstützung für Systemupgrades haben und schwer an Regierungsexperten oder sogar IT-Abteilungen rankommen, sieht es dagegen ganz anders aus. Oftmals fehlt es hier schon an der Erkenntnis, dass es überhaupt ein Problem gibt. Es existieren einige staatlich unterstützte Initiativen, wie zum Beispiel die „British Cyber Essentials“, die kleinen Betrieben im Bereich der Internetsicherheit helfen. Diese haben meist jedoch weder die Reichweite noch die Möglichkeit, alle Firmen flächendeckend zu erreichen und denen zu helfen, die in Not sind. Man kann sich sicherlich fragen, ob sie einen großen Einfluss auf den Umfang des jüngsten Cyber-Angriffes hatten.

Cyber-Attacken in der Größenordnung des WannaCry-Angriffs erinnern Organisationen vielleicht daran, ihre IT-Systeme stets auf dem neusten Stand zu halten. Den Beteiligten nahezulegen, wie genau das geht, ist und bleibt eine ernsthafte Herausforderung. Organisationen der öffentlichen Hand vertrauen in vielen Fällen vielleicht zu oft auf veraltete Computersysteme – schlussendlich jedoch haben sie im Gegensatz zum privaten Sektor weit einfachere Möglichkeiten, etwas dagegen zu tun. 

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „PC“ by Fifaliana (CC0 Public Domain)


The Conversation

Weiterlesen »

Warum Emojis der nächste Passwort-Trend werden könnten

Emoji (adapted) (Image by TeroVesalainen [CC0 Public Domain] via pixabay

Würdest du dein Smartphone lieber mit einer simplen und klassischen 4-stelligen PIN oder mit einem Emoji entsperren? Wäre es einfacher und komfortabler, „🐱💦🎆🎌“ im Kopf zu behalten als beispielsweise „2476“?

Smartphone-Nutzer benutzen Emojis normalerweise, um Stimmungen, Gefühle und Gesprächsnuancen in E-Mails und Textnachrichten auszudrücken. Teilweise werden sogar ganze Nachrichten nur mit Emojis verschickt. 2015 hat eine britische Firma versucht, Emoji-Passwörter anstelle von PINs an Bankautomaten einzusetzen. Allerdings gibt es bis jetzt noch keine offizielle Studie darüber, wie einfach diese zu benutzen waren oder wie sicher die Emoji-Passwörter im Vergleich zu anderen Methoden wie PINS sind.

Um mehr darüber durch ein Experiment und in der echten Welt herauszufinden, hat ein Team von Wissenschaftern der Technischen Universität Berlin, der Universität Ulm und der University of Michigan unter der Leitung der Doktorandin Lydia Kraus von der TU Berlin den Dienst EmojiAuth entwickelt. EmojiAuth ist ein Emoji-basiertes Login-System für Android-Smartphones.

Wie gut würden Nutzer sich an ihre emojigesteuerten Passwörter erinnern können? Wären diese möglicherweise auch sicherer? Und könnten sie ebenfalls unterhaltsamer sein und das Entsperren des Smartphones für den Nutzer spaßiger gestalten?

Emoji-Passwörter kreieren

Die meisten Smartphone-Nutzer haben ihren Bildschirm gesperrt und müssen diesen dementsprechend mehrmals täglich entsperren. Viele Menschen nutzen numerische PINs, aber die Forschung hat gezeigt, das Bilder einfacher zu merken sind als Zahlen oder Buchstaben. PINs können aus einer geringeren Anzahl von Symbolen zusammengesetzt werden oder aus einer Kombination aus den Zahlen 0 bis 9. Passwörter hingegen können aus einer deutlich größeren Anzahl Ziffern bestehen, sind allerdings schwierig auf Smartphones zu tippen. Emojis dagegen erlauben es uns, von über 2.500 möglichen Emojis zu wählen, wodurch die Emoji-Passwörter viel resistenter gegen Hacking oder Spionage sind.

Im ersten Experiment gaben wir 53 Teilnehmern ein Android-Smartphone und teilten sie in zwei Gruppen ein. Die erste Gruppe von 27 Personen suchte sich ein Passwort aus, welches aus zwölf beliebigen Emojis bestand. Die zwölf beliebigen Emojis konnten aus einer Emoji-Tastatur ausgewählt werden, die aus allen möglichen Emojis individuell für jeden Nutzer generiert wurde. (Sobald die Tastatur eingestellt wurde, blieb es gleich). Die verbleibenden 26 Personen suchten sich eine numerische PIN aus.

In den meisten Fällen haben die Teilnehmer ihr Emoji-Passwort nach einer der drei folgenden Methoden ausgewählt:

  1. nach einem Muster des Emoji-Keyboards (beispielsweise von oben nach unten oder die Emojis, die sich in den Ecken befinden),
  2. nach persönlichen Vorlieben für bestimmte Emojis oder
  3. es wurden mit den Emoji-Mustern Geschichten kreiert.

Ein Teilnehmer hatte beispielsweise ein Lied im Kopf und suchte Emojis aus, die dem Text des Liedes entsprachen. Nachdem die Teilnehmer einige Male das neue Passwort eingegeben hatten, wurden sie eine Woche später gebeten, die Passworte für den Test in das Smartphone einzugeben.

Die Resultate ergaben, dass sowohl PINs als auch Emoji-Passworte leicht zu merken sind. Alles in Allem haben die PIN-Nutzer ihr Passwort im Schnitt ein paar Mal häufiger behalten. Das könnte allerdings auch daran liegen, dass Menschen in der Regel daran gewöhnt sind, PINs zu nutzen und sich diese zu merken. Die Teilnehmer mit den Emoji-Passworten berichteten allerdings von größerem Spaß bei der Eingabe ihrer Codes.

Emoji-Passworte im Alltag

Als nächstes wollten wir herausfinden, wie gut Emoji-Passworte dem Test im Alltag standhalten. Auf den Android-Smartphones von 41 Teilnehmern wurde ein spezieller Login-Screen für deren Email-App für etwa zwei Wochen installiert. Die eine Hälfte nutzte Emoji-Passworte, die andere Hälfte nutzte PINs.

Wie wir in dieser Studie herausfanden, haben die Nutzer, die Emoji-Passworte verwendeten, Emojis gewählt, die einem Muster auf der Tastatur entsprachen, nach persönlichen Vorlieben ausgesucht wurden oder eine Geschichten erzählten. Beide Teilnehmergruppen, sowohl die Gruppe mit den PINs als auch die mit den Emojis, berichteten, dass ihr Passwort leicht zu merken und zu nutzen war. Die Emoji-Testgruppe gab jedoch an, dass die Eingabe ihrer Passworte mehr Spaß machte als nur Zahlen einzugeben.

Zusätzliche Sicherheit

Am Ende der Studie haben wir die Sicherheit der Emoji-Passwörter getestet. Hierfür haben wir die Teilnehmer gebeten, den Leitern der Studie über die Schulter zu schauen, während diese ihr Passwort eingaben. Dabei fanden wir heraus, dass die Emoji-Passworte , die auf sechs zufällig gewählten Emojis basieren, bei dem „über-die-Schulter-schauen“ am schwierigsten zu „klauen“ beziehungsweise zu merken waren.

Andere Arten von Passwörtern, wie zum Beispiel vier oder sechs Emojis oder Zahlen, die nach einem Muster gewählt wurden, waren leichter zu beobachten und korrekt zu merken. Unsere Studien, die ein Mitglied unseres Forschungsteams am 30. Mai in Rom präsentieren wird, zeigen, dass eine Emoji-basierte mobile Identifikation nicht nur praktisch ist, sondern auch eine unterhaltsame Art, sich Passwörter leichter zu merken und diese zu schützen. Dies gilt nur, solange die Nutzer keine Emojis verwenden, die einem Muster der Tastatur entsprechen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Emoji“ by TeroVesalainen (CC0 Public Domain)


The Conversation

Weiterlesen »

WannaCry: Die Exploit-Policy der Behörden ist zum Heulen

Image (adpted) (Image by Markus Spiske)(CC0 1.0) via unsplash_crop

Die Erpressungs-Malware ‚WannaCry‘ legte vergangene Woche eine große Zahl von Computersystemen zeitweise lahm. Darunter waren auch einige Systeme, die in den Bereich kritischer Infrastrukturen fallen, etwa bei der Deutschen Bahn und zahlreichen Einrichtungen des englischen National Health Service (NHS). Mit verantwortlich für dieses Desaster ist der verantwortungslose Umgang der (US-)Geheimdienste mit Software-Schwachstellen und Werkzeugen zu deren Ausnutzung. Die Behörden müssen endlich aufhören, durch Geheimnistuerei und Herrschaftswissen die IT-Sicherheit zu gefährden.

WannaCry legte zahlreiche Computer lahm

Die Schadsoftware ‚WannaCry‘ legte Mitte Mai eine Vielzahl von IT-Systemen in aller Welt lahm. Laut dem Antivirus-Hersteller Kaspersky Labs wurden Rechner in mindestens 74 Ländern befallen. Besonders schwer betroffen war Großbritannien, wo zahlreiche IT-Systeme des NHS infiziert und in der Folge unbenutzbar waren, was für chaotische Zustände in einer Reihe von Krankenhäusern sorgte. Aber auch zahlreiche deutsche Unternehmen und Privatpersonen waren betroffen. Viele Rechner der Deutschen Bahn wurden durch ‚WannaCry‘ lahmgelegt, was teilweise zu (außergewöhnlich viel) Chaos und Verspätungen im Bahnverkehr führte.

‚WannaCry‘ gehört zur Kategorie der sogenannten Ransomware. Dabei handelt es sich um einen (aktuell nach einer mehrjährigen Flaute wieder sehr populären) Typ von Schadsoftware, der die Daten auf infizierten Geräten verschlüsselt. Nur nach Zahlung eines bestimmten Betrages (meist, wie auch bei ‚WannaCry‘, in Form von BitCoins oder anderer Krypto-Währung zu entrichten) wird den Betroffenen das Passwort zur Entschlüsselung zugeschickt. Daher stammt auch der Name: „Ransom“ ist das englische Wort für eine Lösegeld-Forderung, beispielsweise auch bei entführten Personen.

Schadsoftware aus den Laboren der NSA

Bei ‚WannaCry‘ handelt es sich nicht um irgendeine Standard-Schadsoftware aus einem russischen Trojaner-Baukasten. Die Vorarbeit für den Schädling wurde vielmehr vom US-Geheimdienst NSA geleistet. Die Behörde deckte die zugrunde liegende Windows-Schwachstelle auf und entwickelte auch ein Software-Werkzeug für deren Ausnutzung, einen sogenannten „Exploit“ (von englisch „to exploit“: ausbeuten, ausnutzen).

Dieser Exploit, Codename ‚Eternalblue‘ (womöglich eine lustige Anspielung auf Windows-Bluescreens?) diente dem Ziel, unbemerkt in die Rechner von Zielpersonen einzudringen. Er funktionierte auf Windows-Versionen von XP bis Server 2012 zuverlässig.

Vor Kurzem wurde ‚Eternalblue‘ zusammen mit einer ganzen Sammlung von NSA-Schadsoftware von der Hackergruppe „Shadow Brokers“ geleakt. Die Verantwortlichen hinter ‚WannaCry‘ mussten also nur noch eine entsprechende „Nutzlast“ schreiben, die Schaden auf den betroffenen Rechnern anrichtet – eine technisch eher triviale Aufgabe – und hatten die nun bekannt gewordene, potente Waffe in der Hand.

‚WannaCry‘ zeigt Baustellen bei der IT-Sicherheit auf

‚WannaCry‘ und der dadurch angerichtete Schaden zeigen eine ganze Reihe von aktuellen Problemen im Bereich der IT-Sicherheit auf, vom Umgang mit Ransomware über die Absicherung kritischer Infrastrukturen bis hin zur Tatsache, dass vielfach auch an wichtigen Stellen veraltete Betriebssysteme verwendet und Updates zu spät oder gar nicht aufgespielt werden.

Der Haupt-Diskussionspunkt aber ist ein anderer: der Umgang der Behörden, namentlich in diesem Fall der CIA und NSA, mit Software-Schwachstellen und Materialien zu deren Ausbeutung. ‚WannaCry‘ hat wieder einmal gezeigt, dass derartiges Wissen von den Behörden unter Verschluss gehalten wird.

Die Behörden müssen ihr Verhalten ändern

Wenn die Behörden sich benehmen wie IT-Kriminelle, indem sie Wissen über Sicherheitslücken für sich behalten und, statt gegen Angriffe auf Rechnersysteme vorzugehen, selbst Schadsoftware entwickeln, kann nichts Gutes dabei herauskommen. Es ist eine dumme, gefährliche Illusion, zu glauben, dass entsprechende Sicherheitslücken nicht früher oder später auch Kriminellen in die Hände fallen, sei es, weil diese unabhängig zum selben Forschungsergebnis kommen (auch in diesen Kreisen ist eine große Menge an Know-How vorhanden) oder weil, wie im Falle von ‚Eternalblue‘, die Behörden-Schadsoftware in unbefugte Hände fällt.

Für die Sicherheit der Bevölkerung ist es von großer Bedeutung, dass Sicherheitslücken in populärer Software, einmal entdeckt, sofort an die Hersteller der betroffenen Programme weitergeleitet werden, damit diese sie per Update beheben können. Von dieser Politik der „Responsible Disclosure“ dürfen auch Behörden nicht länger ausgenommen sein. Ebenso müssen die Geheimdienste aufhören, Staatstrojaner und andere Schadsoftware zu entwickeln. Allzu leicht fallen diese in die falschen Hände oder reißen durch fehlerhafte Konfiguration Sicherheitslücken auf den betroffenen Systemen auf. Wie ‚WannaCry‘ deutlich gezeigt hat, führt das Zurückhalten von sicherheitsrelevanten Informationen und heimliche Basteln mit Schadsoftware durch die Behörden keineswegs zu mehr Sicherheit – im Gegenteil.

Microsoft fordert Behörden zum Umdenken auf

Mittlerweile setzen sich auch namhafte Software-Unternehmen für ein verantwortungsbewussteres Handeln der Behörden ein. So fordert etwa US-Softwaregigant Microsoft, die Behörden müssten gefundene Sicherheitslücken künftig schnellstmöglich den betroffenen Software-Unternehmen melden, statt sie „zu horten, zu verkaufen oder auszunutzen“.

Hoffentlich wird diese einflussreiche Schützenhilfe in absehbarer Zeit ein Umdenken auslösen. Die einzige Möglichkeit, mit einer Software-Sicherheitslücke verantwortungsbewusst und zum Besten der Nutzergemeinde umzugehen, ist, ihre zeitnahe Behebung zu ermöglichen. Alles andere ist ein gefährliches Spiel mit dem Feuer. Das hat ‚WannaCry‘ noch einmal nachdrücklich gezeigt.

 


Image (adapted) by Markus Spiske  (CC0 Public Domain)


Weiterlesen »

Wie funktioniert eigentlich Gesichtserkennung?

Sicherheit (adapted) (Image by TBIT [CC0 Public Domain] via pixabay)

Die Regierung unter Trump hat bisher vor allem Aufmerksamkeit und Kritik auf sich gezogen, weil sie neue Einwanderungsregeln festsetzen will, vor allem was die Einschränkungen für taLeute aus bestimmten muslimischen Ländern angeht. In diesem Chaos aus Besorgtheit wurde eine unklare Durchführungsverordnung nicht geprüft oder bemerkt: die Erweiterung der Gesichtserkennung an großen US-Flughäfen. Mit ihrer Hilfe sollen Menschen, die die USA verlassen, überprüft werden. Man hofft, diejenigen Personen zu finden, die länger als in ihrem Visum angegeben dort waren, oder wegen krimineller Vergehen gesucht werden.

Dabei handelt es sich um eine deutlich leistungsfähigere Methode als jene, die unsere Handys und Computer nutzen, um unsere Freunde auf Fotos zu identifizieren. Indem man Computer nutzt, um Gesichter zu erkennen und Identitäten zu bestätigen, kann man den Zugriff für abgesicherte Firmen- und Regierungsgebäude und deren Geräte optimieren. Manche Systeme können bekannte und verdächtige Kriminelle erkennen. Unternehmen können die Gesichter ihrer Kunden analysieren, um Marketing-Strategien an verschiedene Geschlechter, Altersgruppen und den ethnischen Hintergrund anzupassen. Es gibt sogar Dienste, die die Vorteile der Gesichtserkennung nutzen, zum Beispiel beim virtuellen Anpassen von Brillen oder bei Umstylingservices.
Es gibt aber auch ernste Bedenken, was die Privatsphäre angeht, da staatliche Stellen und Unternehmen damit mehr Möglichkeiten haben, Einzelne in deren Umgebung oder rund um die Welt zu verfolgen. Der Markt der Gesichtserkennung ist gut drei Milliarden US-Dollar wert und soll bis zum Jahre 2021 auf bis zu 6 Milliarden US-Dollar wachsen. Überwachung ist dabei ein großer Faktor; Regierungseinheiten sind hierbei der Hauptverbraucher. Das FBI besitzt eine Datenbank mit Bildern von etwa der Hälfte der Bewohner der USA. Ein weitere Sorge ist, dass man die Gesichtserkennung nutzen könnte, um im Internet Menschen zu belästigen, oder sie sogar in der echten Welt zu stalken.
Zu einer Zeit, in der die Gesichtserkennung immer normaler wird, müssen wir wissen, wie sie funktioniert. Da ich die juristischen Konsequenzen neuer Technologie in strafrechtlichen Untersuchungen studiere und erforsche, empfinde ich es als äußerst wichtig, zu wissen, was hier getan und nicht getan werden kann und wie sich die Technologie entwickelt. Nur dann können wir sachkundige Diskussionen darüber führen, wann und wie Computer das menschlichste aller Merkmale erkennen: unser Gesicht.

So funktioniert die Erkennung

Die Gesichtserkennung ist eine von mehreren Methoden, die man „biometrische“ Identifikationssysteme nennt. Sie prüft physische Merkmale einer Person, um diese klar von anderen zu unterscheiden. Andere Formen dieser Erkennung sind zum Beispiel die Methode der Angleichung von Fingerabdrücken, das Scannen der Netzhaut oder der Iris (wobei ein Teil des Auges gescannt wird, der leichter zu beobachten ist), oder aber auch Stimmerkennung.

All diese Systeme nehmen Daten — zumeist ein Bild — einer unbekannten Person auf, analysieren diese und versuchen, sie mit bereits existierenden Einträgen abzugleichen, in der bekannte Gesichter und Stimmen abgespeichert sind. Die Gesichtserkennung macht dies in drei Schritten: Erkennen, Kreieren eines Gesichtabdrucks und Verifikation oder Identifikation.

Sobald ein Bild aufgenommen wurde, wird es durch Software analysiert, um die Gesichter zu identifizieren, beispielsweise in einer Menschenmenge. In einem Einkaufszentrum werden die Aufnahmen der Überwachungskameras einem Computer zugeführt, der mithilfe der Gesichtserkennung einzelne Gesichter auf dem Video identifiziert.

Sobald das System potentielle Gesichter gefunden hat, sieht es sich diese näher an. Manchmal muss das Bild dafür neu eingerichtet oder vergrößert und verkleinert werden. Ein Gesicht in der Nähe der Kamera erscheint vielleicht gekippt oder leicht gezerrt, jemand im Hintergrund kann kleiner erscheinen oder vielleicht auch verdeckt sein.

Sobald die Software eine geeignete Größe und Orientierung für das Gesicht gefunden hat, schaut sie noch genauer nach und versucht, den sogenannten „Gesichtsabdruck“ zu erstellen. Wie bei einem Fingerabdruck handelt es sich hierbei um die Sammlung von Charakteristika, die zusammen das Gesicht einer Person auf einzigartige Weise identifizieren. Zu einem Gesichtsabdruck gehört die Platzierung der Gesichtszüge, wie Augen, Augenbrauen und die Nasenform. Eine Person mit kleinen Augen, vollen Augenbrauen und einer langen, schmalen Nase hat einen anderen Gesichtsabdruck als eine Person mit großen Augen, schmalen Augenbrauen und einer breiten Nase. Die Augen spielen eine wichtige Rolle bei der Genauigkeit. Große und dunkle Sonnenbrillen schränken die Genauigkeit mehr ein als Gesichtsbehaarung oder normale Brillen.

Ein Gesichtsabdruck kann mit einem einzelnen Foto verglichen werden, um die Identität einer Person zu bestätigen, wie zum Beispiel bei einem Arbeitnehmer, welcher in ein gesichertes Gebiet möchte. Man kann sie außerdem mit Datenbanken vergleichen, in denen viele Bilder gespeichert sind, um eine unbekannte Person zu identifizieren.

Es ist nicht immer leicht

Einer der wichtigen Faktoren der Gesichtserkennung ist die Beleuchtung. Ein gleichmäßig von vorne ausgelichtetes Gesicht, ohne Schatten und ohne Störfaktoren, die die Kamera versperren, ist die beste Lösung. Außerdem kann die Art und Weise, in der ein Gesicht mit dem Hintergrund verschmilzt und wie weit es von der Kamera entfernt ist, die Gesichtserkennung erleichtern oder sie erschweren.

Facial recognition failure (adapted) (Image by antoine [CC BY 2.0] via flickr)
Ungleichmäßiges Licht, ein schlechter Winkel und ein merkwürdiger Gesichtsausdruck können dazu führen, dass die Gesichtserkennung fehlschlägt. Image (adapted) „Facial recognition failure“ by antoine (CC BY 2.0).

Eine andere wichtige Herausforderung, um eine erfolgreiche Gesichtserkennung durchzuführen, ist die Frage, inwieweit die zu identifizierende Person in dem Moment kooperiert oder ob ihr der Vorgang überhaupt bewusst ist. Menschen, die die Erkennung bewusst nutzen, wie beispielsweise Arbeitnehmer, die in einen eingeschränkt nutzbaren Raum haben wollen, sind dabei einfach anzuleiten. Sie gucken meistens bei guter Beleuchtung direkt in die Kamera und schaffen damit optimale Bedingungen für die Analyse.

Andere wissen allerdings nicht, dass ihre Gesichter analysiert werden — teilweise sind sie sich nicht einmal bewusst, dass sie von einem Überwachungssystem beobachtet werden. Diese Art von Aufnahmen ist schwieriger zu analysieren; ein Gesicht, das aus der Menge ausgewählt wird, muss eventuell digital bearbeitet oder herangezoomt werden, um eine Kopie erstellen zu können. Dadurch entsteht die Gefahr, dass das System jemanden falsch zuordnet.

Potentielle Probleme

Sobald ein Gesichtserkennungssystem jemanden falsch zuordnet, kann dies mehrere Probleme verursachen – dabei kommt es auf die Art des Fehlers an. Ein System, das den Zugang zu spezifischen Orten einschränkt, kann fälschlicherweise einer unerlaubten Person Zugang gewähren — wenn diese beispielsweise vermummt ist oder einem zugelassenen Menschen sehr ähnlich sieht. Es kann auch einer befugten Person den Zugang versperren, indem es diese falsch identifiziert.

In der Gesetzesvollstreckung gelingt es Überwachungskameras nicht immer, ein gutes Bild der verdächtigen Person aufzunehmen. Dies kann dazu führen, dass jemand Unschuldiges als Täter identifiziert wird — oder ein bekannter Krimineller eventuell nicht identifiziert wird.

Obwohl es in Fernseh-Krimis immer so akkurat aussieht, gibt es doch genug Möglichkeiten, Fehler zu machen, obwohl sich die Technik immer weiter entwickelt. Das „National Institute of Standards and Technology“ nimmt an, dass die Fehlerquote alle zwei Jahre um 50 Prozent sinkt, im Moment wären es dann etwa 0,8 Prozent. Somit ist diese Technologie besser als die Stimmerkennung, deren Fehlerquote bei über sechs Prozent liegt. Gesichtserkennung kann aber trotzdem fehleranfälliger sein als Iris– und Fingerabdruckscans.

Bedenken bei der Privatsphäre

Doch obwohl es alles korrekt ist und sich dies stetig verbessert, weckt die Gesichtserkennung Bedenken, was die Privatsphäre angeht. Die größte Sorge ist, dass, wie bei dem Anstieg der DNA-Datenbanken die Gesichtsmerkmale und Fotos von staatlichen Stellen gelagert werden, die dadurch Menschen verfolgen und so jegliche Vorstellung von Privatsphäre und Anonymität löschen können.

Neue Probleme mit der Privatsphäre treten außerdem andauernd auf. Eine neue Smartphone-App namens FindFace erlaubt es ihren Nutzern, das Foto einer Person aufzunehmen und mithilfe der Gesichtserkennung deren Accounts in sozialen Medien zu finden. Eine scheinbar praktische Möglichkeit, um Freunde und Kollegen zu finden – aber die App lädt dazu ein, die Funktion zu missbrauchen. Man kann sie benutzen, um Identitäten zu offenbaren und andere zu belästigen.

Diese neuen Möglichkeiten lassen Bedenken aufkommen, wenn es um andere böswillige Möglichkeiten geht, um öffentlich verfügbare Bilder zu nutzen. Wenn die Polizei zum Beispiel nach vermissten Kindern sucht, ist in der Berichterstattung oft ein Bild des Gesichts des Kinds zu sehen. Es gibt kaum Regulationen oder eine Aufsicht, also weiß niemand, ob diese Bilder in Gesichtserkennungssysteme eingegeben werden.

Dies reißt nicht einmal das Thema der weiten Nutzung von Gesichtserkennungswerkzeugen an, Technologien wie die Bodycams von Polizisten, Ortungssoftware und Maschinen, die bei dem Tracking in Echtzeit assistieren. Dies geht über die simple Identifikation hinaus und konzentriert sich eher darauf, wo jemand zu welcher Uhrzeit war und die Annahme, wohin die Person geht. Die Kombination bietet neue und attraktive Optionen der Verbrechensbekämpfung und vertieft die Risse in unserer Privatsphäre.

Die Technik bietet uns wirkungsvolle Werkzeuge, während das Gesetz oft zu schlecht ausgerüstet ist, um bei neuen Entwicklungen mitzuhalten. Sollten wir allerdings die Gesichtserkennung für die Einwanderung und Gesetzesvollstreckung nutzen, so müssen wir mit den Möglichkeiten und Nachteilen umgehen und dabei die Probleme der Genauigkeit, Privatsphäre und Moral verstehen, die dadurch nur zunehmen werden.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Sicherheit“ by TBIT (CC0 Public Domain)

Image (adapted) „Facial recognition failure“ by antoine (CC BY 2.0)


The Conversation

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • CYBERCRIME heise: Nach Hacker-Festnahme: FBI will Kelihos-Botnetz endgültig stilllegen: In Barcelona wurde vor einigen Tagen ein russischer Hacker festgenommen. Der Vorwurf lautet, dass er ein Rechnernetz angelegt haben soll, dass Login-Daten sammelt, jährlich Hunderte Millionen SPAM-Mails verschickt und Malware auf anderen Rechnern installiert. In der Vergangenheit wurde mehrfach versucht, dem Botnetz den Todesstoß zu versetzen – bislang jedoch erfolglos. Allerdings teilte nun das US-Justizministerium mit, dass am Samstag mit dem Botnetz verbundene Domains blockiert wurden, dass ein Ersatzserver eingerichtet wurde, um automatisierte Anfragen infizierter Computer anzunehmen und dass zudem alle Steuerungsbefehle des Hackers blockiert wurden.

  • HASS Spiegel Online: Gericht verurteilt Facebook-Hetzer zu 4800 Euro Strafe: Hetze im Netz bleibt nicht ohne Konsequenzen. Vor dem Amtsgericht Berlin-Tiergarten wurde am Dienstag ein 57-Jähriger vorurteilt. Er habe auf Facebook die Grünen-Politikerin Claudia Roth beleidigt und gefordert, sie „aufzuhängen“. Der Vorwurf lautet somit „öffentliche Aufforderung zu Straftaten sowie Beleidigung“. Der Hetzer wurde zu einer Geldstrafe von 4. 800 Euro in 160 Tagessätzen von je 30 Euro verurteilt. Aufgeflogen war der Mann als Kunde in einer Digitaldruckerei. Ein Mitarbeiter war auf ihn aufmerksam geworden, weil er ihm wie ein „merkwürdiger Wutbürger“ erschien. Er stieß im Internet auf sein Facebook-Profil und damit auf „menschenverachtende und gruselige“ Kommentare.

  • iOS golem: Der Weg zurück zu HFS+ ist versperrt: Apple beendet mit dem aktuellen Update für iOS auf Version 10.3.1 die Signierung für das Dateiformat HFS+. Das ab jetzt verwendet Dateisystem ist APFS (kurz für „Apple File System“). Wenn Nutzer das Update durchführen, wird parallel dazu das Dateisystem konvertiert, deswegen dauert der Vorgang ungewöhnlich lange. Weil Apple die Signierung älterer iOS-Versionen beendet hat, ist ein Wechsel zurück zu iOS 10.2.1 unmöglich. Das neue Update beseitigt Sicherheitsprobleme bei WLAN-Verbindungen. Es werden auch 32-Bit-Geräte unterstützt, daher gibt es auch eine Aktualisierung für das iPhone 5 und 5C. Unter WatchOS und TVOS wird APFS bereits eingesetzt, der Einsatz unter MacOS ist geplant.

  • OFFICE t3n: Millionen Word-User von Onlinebanking-Virus betroffen: Microsofts Office-Programm ist derzeit einem Großangriff durch Schadsoftware ausgesetzt. Weltweit sind Millionen Word-Nutzer auf Windows-PCs betroffen. Gegen eine erst am Wochenende entdeckte Sicherheitslücke im Programm werde offenbar derzeit ein Angriff mit Schadprogramm gefahren. Die Angreifer versuchten, über eine groß angelegte SPAM-Aussendung den Banking-Trojaner Dridex auf den Rechnern der Anwender zu installieren. Die E-Mails haben als Anhang ein schadhaftes Word-Dokument im RTF-Format (Rich Text Format). Die Forscher berichten, dass ein Öffnen der infizierten Dateien bereits dazu führt, dass der Rechner des Opfers kompromittiert wird. Word blendet zwar eine Warnung vor potenziell gefährlichen Links ein, an diesem Punkt ist der Rechner aber bereits infiziert.

  • DIGITALISIERUNG WIRED: Die Ampel der Zukunft ist ein digitales Verkehrsschild: Beim diesjährigen Lexus Design Award gilt das Konzept des russischen Industriedesigners Evgeny Arinin als Finalist. Sein Vorschlag ist eine komplette Überarbeitung der Verkehrszeichen an Kreuzungen. Die Ampel der Zukunft ist demnach ein Schild in Form der Kreuzung. Dieses verfügt über LED-Technologie und kann in den gewohnten Farben Rot, Gelb, Grün anzeigen, welche Fahrtrichtung gerade Vorfahrt hat. Arinin will damit die Ampel zukunftsfähig machen. Schon bald könnten digitale Verkehrszeichen eine große Rolle spielen, da autonom fahrende Autos mit ihnen kommunizieren müssen. Große und deutliche Schilder sollen zuverlässiger sein als kleine, schwankende Farbkreise.

Weiterlesen »

Die Netzpiloten sind Partner beim TechSummit Berlin

Partnergrafik_Tech_summit

In Berlin findet am 12. April 2017 der TechSummit statt. Hier erwarten euch zahlreiche Experten, die gerne ihr Wissen mit euch teilen und Tipps, Tricks und Ideen zu einer großen Bandbreite an Themen bieten. Schließt euch anderen aus der Tech-Community an und verbringt mit ihnen einen Tag, an dem ihr zwanglose Gespräche führen und Informationenen austauschen könnt. Die Themen, auf die ihr euch freuen könnt, sind Überwachung, Leistung, Containerisierung, Automatisierung von Infrastruktur, Skalierbarkeit, Sicherheit, serverlose EDV und Ingenieurskultur. Die Sprache des Events ist Englisch.

Experten und Speaker

Unter anderem werden diese Experten und Speaker für euch vor Ort sein:

Die Location ist die Kultbrauerei in Berlin und deren Umgebung. Die Tickets kosten nur 25 Euro. Damit habt ihr einen Pass für den ganzen Tag inklusive Verpflegung. Hier könnt ihr eure Tickets kaufen.

Weiterlesen »

Android: Sicherheitsbericht zeigt Licht und Schatten

Lg (adapted) (Image by hawkHD [CC0 Public Domain] via pixabay)

Der aktuelle Sicherheitsbericht von Google zum Thema Android-Mobilgeräte zeigt einige durchaus erfreuliche Trends auf. Daneben findet sich aber auch eine sehr beunruhigende Statistik: Lediglich jedes zweite Android-Mobilgerät erhielt im Laufe des letzten Jahres ein Sicherheitsupdate. Teilweise mag es an bequemen oder unwissenden Nutzern liegen. Das Hauptproblem ist jedoch die starke Fragmentierung der Android-Welt und die Tatsache, dass gerade kleinere Hersteller die Updates oftmals gar nicht zeitnah für ihre Geräte anpassen. Google will nun helfen, die Situation zu verbessern.

Verbesserungen bei Sicherheitsfeatures, geringere Verbreitung von Schadsoftware

Rund 1,4 Milliarden aktiv genutzte Mobilgeräte mit Googles Betriebssystem Android gibt es derzeit, schätzt Google. Wie sicher sind jedoch diese gigantischen Mengen an Smartphones und Tablets? Aktuelle Untersuchungen zeigen Licht wie auch Schatten.

Googles aktueller Sicherheitsbericht zeigt einige erfreuliche Entwicklungen auf. So hat die Anzahl mit Schadsoftware infizierter Geräte im Jahr 2016 gegenüber dem Vorjahr abgenommen. So nahm die Anzahl von Trojanern gegenüber 2015 um gut 50 Prozent ab; diese machten insgesamt nur noch 0,016 Prozent aller von Googles Sicherheitssoftware untersuchten Downloads aus. Der Anteil der Phishing-Apps sank sogar um 70 Prozent. Nur noch auf 0,05 Prozent der Geräte, die nur aus Googles Play Store mit Apps versorgt werden, fand sich bei Untersuchungen ein „potentiell schädliches“ Programm. 2015 waren es noch 0,15 Prozent gewesen. Insgesamt waren rund 0,7 Prozent aller untersuchten Android-Geräte von einer solchen, womöglich schädlichen Software befallen.

Auch das Android-Betriebssystem selbst wird nach Ansicht Googles immer sicherer. Dafür hat sich der Software-Gigant sehr ins Zeug gelegt und in die aktuelle Betriebssystem-Version „7.0 Nougat“ eine ganze Reihe neuer Sicherheitsfeatures eingebaut. Darunter sind verbesserte Möglichkeiten zur Verschlüsselung – aktuell ohnehin ein großes Thema in der IT-Welt – und bessere Sicherheitsfeatures beim Abspielen von Musik- und Videodateien.

Auch das hauseigene „Bug Bounty“-Programm gewann an Bedeutung. Im Laufe des Jahres schüttete Google fast eine Million US-Dollar an Sicherheitsforscherinnen und Sicherheitsforscher aus, die halfen, Schwachstellen in der Software zu entdecken.

Updates: Nur jedes zweite Gerät wurde 2016 versorgt

Ein großes Problem allerdings zeigt der Sicherheitsbericht auf. Von den 1,4 Milliarden Android-Geräten erhielt im Jahr 2016 lediglich rund die Hälfte ein sogenanntes Plattform-Sicherheitsupdate. Google berichtet, rund 735 Millionen Android-Geräte von etwa 200 Herstellern mit entsprechenden Updates versorgt zu haben. Der Rest ging leer aus.

Die Hauptursache für dieses Problem ist keineswegs eine mangelnde Bereitschaft Googles, an der Sicherheit seiner Geräte zu arbeiten – das zeigen die Berichte über anderenorts in diesem Bereich getätigte Investitionen wohl deutlich. Auch ist in diesem Fall – anders als beispielsweise bei der Passwortsicherheit – die Ursache höchstens in zweiter Linie beim Benutzerverhalten zu suchen.

Das Hauptproblem ist vielmehr die Vielzahl im Umlauf befindlicher Android-Versionen, auch als „Android Fragmentation“ bezeichnet. Aktuell teilen Betriebssystem-Versionen von 4.4 bis 7.0 unter sich den Markt auf. Hinzu kommt, dass selbst innerhalb einer nominell identischen Android-Version keineswegs alle Systeme gleich sind. Vielmehr nehmen die meisten Smartphone-Hersteller mehr oder weniger umfangreiche Änderungen an Treibern, Bedienkonzept und Benutzeroberfläche vor.

Auf all diese verschiedenen Versionen und Besonderheiten muss ein Android-Sicherheitsupdate erst angepasst werden, bevor es verteilt werden kann, und es muss in Tests sicher gestellt werden, dass der Patch auch wie vorgesehen funktioniert und keine Probleme verursacht. All das kostet Zeit und Geld. Selbst große Hersteller versorgen gerade ältere Geräte teilweise nur schleppend mit Updates. Bei kleineren Anbietern warten die Nutzerinnen und Nutzer oft sehr lange oder Updates werden gar nicht erst verteilt. So kommt es zu den von Google berichteten, alles andere als zufriedenstellenden Zahlen.

Google ist in der Pflicht

In gewisser Hinsicht gleicht die Situation bei Android-Mobilgeräten der im Smart-Device- und Router-Bereich: Updates werden häufig gar nicht oder zu spät bereitgestellt oder von den Benutzern nicht als wichtig wahrgenommen. So kommt es zu gefährlichen Schutzlücken. Schwachstellen in der Software werden nicht zeitnah behoben und können so womöglich für Angriffe ausgenutzt werden. Im Falle von hunderttausenden Android-Geräten ist das destruktive Potential hier womöglich erheblich.

Wie auch bei Routern und ähnlichen Geräten kann hier nur herstellerseitig effektiv Abhilfe geschaffen werden. Auch Geräte mit einer eher kleinen Verbreitung müssen zeitnah Updates erhalten. Google hat schon angekündigt, sich des Problems annehmen zu wollen. Künftig will der Software-Gigant enger mit den Geräteherstellern zusammenarbeiten und es ihnen leichter machen, Sicherheits-Updates auf ihre jeweilige, individuell modifizierte Plattform anzupassen. Nun ist es an der Öffentlichkeit und vor allem der IT-Fachwelt, Google auf die Finger zu schauen und dafür zu sorgen, dass es nicht bei einem bloßen Lippenbekenntnis bleibt. Nur so kann die Welt der Android-Mobilgeräte effektiv abgesichert werden.


Image (adapted) „Lg“ by hawkHD (CC0 Public Domain)


 

Weiterlesen »