21:51 Uhr irgendwo zwischen Hannover und Berlin-Spandau im ICE 645. Das Treffen der Datenschützer geht morgen in Hannover weiter. Ich würde gerne noch weiter teilnehmen. Aber morgen steht wieder eine Menge Arbeit an. Vielleicht gibt es ja noch die Möglichkeit, mit dem einen oder anderen, den ich heute getroffen habe weiter zu reden.
Die Sonne scheint draußen und ich sitze den ganzen Tag am Schreibtisch. Und das an einem Feiertag nach ein paar Tagen im Büro, die wirklich kräftezehrend waren. Aber was sein muss, muss sein. Morgen werde ich einen Vortrag in Hannover halten. Publikum sind Datenschützer aus Niedersachsen – und wie ich aus verläßlicher Quelle weiß mindestens auch aus Berlin. Vorstellen werde ich u.a. unser TUBIS-System und das TUB-Portal und die hier zum Einsatz kommenden Techniken zur Vermeidung redundanter Datenhaltung, Datenvermeidung, Datenverteilung und damit verbunden auch Möglichkeiten zur Pseudonymisierung und Anonymisierung. Und ich werde natürlich noch etwas dazu sagen, wieso wir an der TU unseren eigenen Weg eingeschlagen sind und wie wir dazu kommen, in Sachen Datenschutz andere Wege zu gehen, als andere Universitäten.
Ich bin gespannt, wie der Vortrag am Ende aussehen wird. Ich bin gespannt darauf, wie gut ich das alles rüberbringen werde. Denn die meisten Zuhörerinnen und Zuhörer werden wohl eher Juristen, als Techniker sein. Die Kunst ist nun, auch über Technik zu sprechen, ohne zu technisch zu werden aber ganz sicher nicht, Dinge so weit zu vereinfachen oder zu vereinheitlichen, dass sie falsch werden. Und ich bin natürlich gespannt auf Diskussionen vor, während und nach dem Vortrag. Solche Gespräche sind immer eine Quelle neuer Ideen und manchmal auch Anstöße, Fehler zu beseitigen oder Ansätze zu überdenken. Auf diese Weise sind wir so weit gekommen, wie wir heute sind.
Bis es einen guten neuen Platz dafür gibt, erscheint der Vortrag erst einmal auf meiner alten PRZ-Homepage, wenn alles so weit ist (Update folgt die nächsten Tage).
Sehenswert, wenn auch für mich nicht sonderlich erhellend aber immerhin unterhaltsam ist Toll! aus der Sendung Frontal21 vom 4.9.2007. Da wird nämlich auf die Thematik „Onlinedurchsuchung vs. chinesische Hackerangriffe“ eingegangen. Wer sich noch mal „Bundestrojaner“ auf der Zunge vorstellt, der müsste sich mal überlegen, dass das „Trojanische Pferd“ ja auf die Trojaner losgelassen wurde. Die Trojaner waren hier die Opfer. Wie ist das eigentlich jetzt mit den Bundestrojanern?
Eigentlich wollte ich diesem Heise-Artikel ja noch weiter auf die Spur gehen, weil ich das, was da steht so einfach nicht glauben kann. Da die Zeit aber alles andere, als reichlich ist, gebe ich den Artikel lieber schon mal als Lesetipp, bevor er im Rauschen des Netzes verschwindet. Wer noch mehr Informationen zu diesem Fall hat: Immer her damit!
Heute morgen habe ich das Programm nmap(1) benutzt, um die Konfiguration eines Paketfilters zu testen und zu verhindern, dass ich Systemfehler an der falschen Stelle suche. Seit diesem Wochenende ist diese Aktion aber evtl. schon strafbar.
Nachdem das „Hackergesetz“, der größte Unsinn, den ich bislang von unserer Regierung gelesen habe (Äußerungen einzelner Vertreter mal außen vor gelassen) nun verabschiedet ist, liegt unsere letzte Hoffnung bei unserem Bundespräsidenten. Er könnte seine Unterschrift noch verweigern und damit das Gesetz wieder zurücksetzen. Sehr gut finde ich, dass in dem Artikel eigentlich auch genau das zusammengefasst wird, was ich auch schon beschrieben hatte inkl. dem Abschnitt über das BSI.
Mindestens wissen wir, dass Herr Köhler nicht davor zurückschreckt, auch mal eine Unterschrift zu verweigern, wenn es triftige Gründe dafür gibt.
Wir erinnern uns? Eines der Themen, die ich (auch auf diesem Blog) immer mal verfolgte, war das Urheberrecht und damit eng verknüpft natürlich das Recht der Konsumenten bzw. Benutzer. Während uns die Privatkopie erhalten bleibt, gibt es im neuen Recht keine Bagatellen mehr (via Schockwellenreiter). D.h. im Klartext: Wenn Dominik endlich so weit ist, auf dem Schulhof Klingeltöne zu tauschen, wandere ich in den Knast (Eltern haften für ihre Kinder), wenn ich es nicht schon längst bin, weil ich böse Hackertools genutzt habe. Aber vielleicht erlebe ich das ja gar nicht mehr, sondern bin durch mein Blog oder weil ich die Klappe mal wieder nicht halten konnte auf die Beobachtungslisten der Deutschen Terrorabwehr geraten und bekomme den präventiven Gnadenschuss.
Jetzt fragt sich der aufmerksame Leser: Was hat den Urheberrecht mit den Anti-Terrorgesetz zu tun? Das würde ich auch gerne wissen. Aber irgendwie haben es diverse Politiker immer wieder drauf, das zusammenzumischen.
PS: Ich hatte hier schon mal etwas zu Artikel 20 (4) GG geschrieben.
Da regen wir uns über Diskussionen zum Bundestrojaner auf. Dabei kann man sensible Informationen offensichtlich einfach über Tauschbörsen abrufen, wie auf heute.de berichtet wurde. Die nächsten Anschlagpläne können sich die Strafverfolgungsbehörden wohl demnächst aus eMule ziehen.
Aber schon lange ist bekannt, dass man spannende Daten aus Google ziehen kann. Oft setzen Benutzer die Zugriffsrechte von Dateien auf Webservern nicht richtig. Ich habe selbst einen kleinen Test gemacht und in 10 Minuten aus Google 4 htpasswd-Dateien mit 16 Passwörtern gezogen. Danach baute ich mir John the Ripper (sudo port install john). Das Resultat:
16 password hashes cracked, 0 left
Fazit: Wirklich sensible Daten haben auf Webservern absolut gar nichts verloren. Dateirechte sind nicht dafür gemacht, um arme Benutzer zu foltern. Man sollte sie tatsächlich verstanden haben! Wenn man damit nicht klar kommt, sollte man jemanden fragen, der sich damit auskennt. Und damit meine ich nicht jemanden, der meint, sich damit auszukennen. Wer mit eMule und Co spielt, sollte sich intensiv damit auseinandersetzen, welche Gefährdungen er sich damit einhandelt. Am besten sollte man eMule auf einem separaten Rechner betreiben. Insgesamt macht es Sinn, einen Rechner für sensible Daten zu besitzen und einen zum “spielen”.
Da zahlt man als braver Bürger immer ordentlich seine Steuern, engagiert sich für den Staat, indem man seine Rechte und Pflichten wahrnimmt – und dann kommt der Tag, an dem man weiss, das alles hat sich gelohnt. Das BKA macht einem ein Geschenk der ganz besonderen Art. Aber dann verhalten sie sich plötzlich wieder so komisch. Die ganze Geschichte gibt es auf heute.de.
Als ich heute im IRC den Spiegel-Online-Artikel zugeschickt bekam (auch Heise-Online berichtet), wusste ich, dass andere geplante Artikel in diesem Blog zunächst zurückgestellt werden müssen. Bei meinen Recherchen entdeckte ich, dass ich einen geeigneten Artikel schon seit einigen Monaten fertig hatte. Es handelt sich um meine Aufzeichnungen, die ich bei einem Vortrag beim 23C3 gemacht hatte. Was damals noch “Zukunft” war mit Worten, wie “wer weiss, was da noch geändert wird”, ist heute Realität. Das Verschaffen, Verkaufen, Überlassen oder Verbreiten von Computerprogrammen, deren Zweck die Begehung von bestimmten Straftaten ist, wird unter Strafe gestellt. Leider benötigen wir im IT-Sicherheitsbereich solche Programme auch zum Testen unserer Sicherheit. Welcher Polizist würde gerne eine kugelsichere Weste tragen, die nie mit einer echten Kugel getestet werden konnte, weil es in dem Land ohne Ausnahmen verboten ist, solche Kugeln zu benutzen? Durch das neue Gesetz könnte die Sicherheit der IT-Infrastruktur in Deutschland stark leiden. Und mehr noch: Es könnte im Bereich Netzwerk und Netzwerksicherheit (zwei Zukunftsbranchen, seit vielen Jahren wachsen) entscheidende Wettbewerbsnachteile bringen.