Kategorie: Datenschutz

Die TLS Wiederverhandlungsproblematik (TLS renegotiation issue)

20091110-CRW_7062.jpg

Am Donnerstag, den 5.11. erschien auf Heise Security eine Meldung zu einer Schwachstelle im SSL/TLS-Protokoll. Es war schwierig, aus der Beschreibung die Brisanz der Schwachstelle abzuleiten. Die bei Heise folgende Diskussion zeigte, dass der Eindruck entstand, dass es sich um eine Lücke handle, die nur bei exotischen Konfigurationen auftreten würde. Diese Einschätzung ist leider falsch! Heute meldet Heise: OpenSSL fixt TLS-Schwachstelle. Allerdings besteht hier der Fix nur darin, die Wiederverhandlung im TLS abzuschalten. Dabei handelt es sich jedoch zur Zeit leider um die beste zur Verfügung stehende Maßnahme. Das Security Advisory von Cisco, das gestern erschien, liest sich wie eine Produktportfolio („Details“), da fast jedes Produkt SSL/TLS unterstützt. Hier arbeitet man an Lösungen.

Thomas Gebhardt und ich haben für unsere Administratoren und als Vorlage für Informationen für unsere Benutzer einen Artikel zusammengestellt, in dem wir den Wissensstand noch einmal in Deutscher Sprache zusammenfassen. Relevant ist dieses Wissen vor allem für Betreiber von Infrastruktur, die SSL/TLS verwendet (also z.B. HTTPS, IMAPS, LDAPS, etc.) aber leider auch für alle Benutzer von Online Banking, Online Shopping, eGovernment etc.

Daten wollen frei sein: Büchertipps bei libri.de

Es scheint sich zu bewahrheiten, dass Datensparsamkeit der einzig verlässliche Garant für die Vertraulichkeit von Daten ist. Das Erklärungen der Anbieter auch nur ein paar Bits im Datenrauschen sind, ist nun fast jedem Kunden klar. Aber auch TÜV Zertifizierung und Co. verlieren ihre Glaubwürdigkeit. Sicher sind die Daten, die ich nicht ins Netz bringe. Blöd nur, dass wir den Bücherladen um die Ecke bereits ruiniert haben, indem wir unsere Bücherlisten (unfreiwillig) ins Netz gestellt haben. [From Exklusiv: Die Bücher der Anderen : netzpolitik.org]

Rant gegen das BKA-Gesetz, Online-Durchsuchung und die Berater des Innenministeriums, die noch nicht in diesem Jahrtausend angekommen sind

Kai Biermann schreibt in der Onlineausgabe der Zeit einen sehr ordentlichen Kommentar zum BKA-Gesetz. Unbedingt lesenswert aber ein Garant für die Verbreitung schlechter Laune. Da mir aber auf Grund der Faktenlage auch nicht nach guter Laune ist, fühle ich mich genötigt, mit in „das ganze Gerede vom Überwachungsstaat“ mit einzustimmen.

Ich habe auf Grund meiner Ausbildung und Tätigkeit eine eher technische Sicht auf die Dinge, die ich im folgenden möglichst allgemeinverständlich darlegen werde. Ich kann plausibel darlegen, dass die Onlinedurchsuchung zwar dem unbescholtenen Bürger, nicht aber einem echten Terroristen schaden kann. Denn wirkungsvolle Maßnahmen gegen die Onlinedurchsuchung sind zwar für den Hausgebrauch lästig und für die meisten nicht durchführbar, sind aber mit minimalem Aufwand für Terroristen und Schwerverbrecher zu leisten.

Rant gegen das BKA-Gesetz, Online-Durchsuchung und die Berater des Innenministeriums, die noch nicht in diesem Jahrtausend angekommen sind weiterlesen

Schlaglinks

Heute habe ich mal ein paar Links zum Thema Datenschutz zusammengetragen:

Es gibt eine Stellungnahme zum Urteil des Bundesverfassungsgerichts vom 27. Februar 2008 und zum technischen Selbstschutz durch kryptographische Verfahren der Gesellschaft für Informatik, der ich auch angehöre. In dieser geht es um die Onlinedurchsuchung, die auch Thema einiger Heise Online Artikel ist.

Anderswo schützt man nicht nur persönliche Daten, sondern auch Personen durch Zensur. Was nicht heißen soll, dass es ähnliche Aktionen nicht auch hier in Deutschland gibt.

Den Artikel über die geplante sichere E-Mail muss ich wohl erst einmal genau in der iX nachlesen. Bislang verwirrt mich das alles, wo ich doch dachte, dass wir schon vor vielen Jahren die Voraussetzungen für „sichere E-Mail“ geschaffen haben.

Auf die Gesundheitskarte werden wir dann wohl doch noch eine Weile warten müssen.

Was „zum Lachen“ zum Schluss. Zufällig habe ich Teile der vor Jahren durchgeführten Anti-Drogenkampagne wiedergefunden.

Steuer-ID: Schlüssel zur Datawarehousing

Hier an der TUB arbeite ich u.a. auch an diesem Problem. In unterschiedlichen Datenbanken befinden sich unterschiedliche Informationen ein und der selben Person. Ändert sich nun etwas, wie z.B. die Anschrift, der Familienname (z.B. bei Heirat) oder einfach nur Raum bzw. Telefonnummern, laufen die Datenquellen auseinander. Mir als Mitarbeiter hier ist es praktisch nicht zuzumuten, im Auge zu behalten, wem ich noch Änderungen mitteilen muss. Deshalb werden Mitarbeiter und Studierende durchnummeriert. Die dezentrale Speicherung der Daten wird nach Möglichkeit aufgegeben. Wir führen die einzelnen Datenbanken zu einer zusammen (Stichwort Data-Warehouse). Für das Zusammenführen der Daten ist eine eindeutige Kennzahl sehr praktisch, um sicherzugehen die Daten der immer selben Person zu finden. Unbedingt nötig ist sie allerdings nicht.

Das einige Organisationen die Sache mit dem Warenhaus etwas zu wörtlich nehmen, zeigt ein Beispiele aus der selben Zeitung am selben Tag.

Das hält unsere Gesetzgeber jedoch nicht ab, so eine Steuer-Identifikationsnummer einzuführen. Einige halten diese Nummer für verfassungswidrig und die Humanistische Union will versuchen, ein Musterverfahren durchzubringen.

Telefonüberwachung in Berlin

Eine Millionen Telefongespräche wurden 2007 in Berlin abgehört. Das ist selbst bei 3,4 Millionen Einwohnern doch erheblich. Zum Telefonieren gehören ja auch immer zwei. Wenn nicht gerade der eine Verdächtige 1.000.000 mal telefoniert hat, könnte man mal hochrechnen, dass zumindest ich rein statistisch gesehen Berlinerinnen und Berliner kennen müsste, die letztes Jahr abgehört wurden. Mit einer gewissen Wahrscheinlichkeit war ich selbst mit dabei. Und? Fühlt sich das gut an? Fühlt es sich besser an, wenn man immer wieder wiederholt, dass man ja nichts zu verbergen hat?

Gefunden beim Datenterroristen.