Piratenpartei Deutschland

Schlagwort: Datensicherheit

  • Menschen im Fadenkreuz

    Menschen im Fadenkreuz

    Die Geld ist geil Mentalität der Großkonzernen schadet den Menschen!

    Ein digitaler Albtraum wird Realität

    Die Telefonnummern, öffentlichen Verschlüsselungsschlüssel und Profildetails von 3,5 Milliarden WhatsApp-Nutzern lagen ungeschützt im Internet – ohne Sicherheitsbarrieren, ohne Authentifizierung, einfach offen für Cyberkriminelle, Identitätsdiebe und staatliche Überwachung. Was lange als Worst-Case-Szenario gegolten hat, ist nun Realität. Und Meta, der Mutterkonzern von WhatsApp, reagiert bis heute mit Schweigen.

    „Das ist erst der Anfang, wenn wir nicht handeln!“, warnt Lilia Kayra Kuyumcu. Das Ausmaß des Datenabflusses ist beispiellos: „Nicht nur aktive Nutzer sind betroffen, sondern auch jene, die vorsichtig waren und die App längst deinstalliert haben.“

    Babak Tubis, Mitglied des Bundesvorstandes und zertifizierter Datenschutzbeauftragter, fasst die Situation deutlich zusammen: „Dies ist einer der größten Datenabflüsse der Geschichte des Internets – und Meta tut, als wäre nichts geschehen.“ Die Folgen sind bereits spürbar: Millionen Menschen sind Ziel von Identitätsdiebstahl, Erpressung und Phishing-Angriffen. Die Anzahl von SPAM-Anrufen bei WhatsApp-Nutzern ist bereits stark gestiegen.

    Besonders besorgniserregend ist, dass dieses Versagen nicht überraschend kam. Forscher wiesen Meta bereits auf Sicherheitslücken hin. Der Konzern ignorierte die Warnungen, dass
    das gesamte Mitgliederverzeichnis von WhatsApp online ungeschützt zum Abruf bereit stand. Das ist keine Panne, das ist Fahrlässigkeit mit System!

    Was sind die realen Gefahren für den einzelnen Menschen?
    Identitätsdiebstahl: Mit Ihrer Telefonnummer und Ihren Profildaten können Kriminelle nun Konten in Ihrem Namen eröffnen, Kredite aufnehmen und Ihr Leben zerstören.

    Überwachung: Ihre Telefonnummer ist jetzt in kriminellen und staatlichen Datenbanken katalogisiert. Was gestern noch undenkbar war, wird zur Routine. George Orwells 1984 war ein kleiner Fisch gegen diesen Meta-Wal.

    Zielgerichtete Betrügereien: Betrüger wissen jetzt, wer Sie sind. Personalisierte Phishing-Nachrichten, gefälschte Anrufe, WhatsApp-Betrug – Die Nutzung von Metas Diensten hat sie zum perfekten Opfer gemacht.

    Finanzielle Vernichtung: Kontoübernahmen, Kryptowährungsdiebstahl, Meta verdient Milliarden mit den Daten der Nutzer und serviert diese gleichzeitig den Verbrechern dieser Welt frei Haus!

    Wir als Piratenpartei fordern Konsequenzen, denn an dieser Stelle verstehen Großkonzerne und ihre Aktionäre nur eine Sprache. Massive Bußgelder! Dieses Versagen im Bereich des Datenschutzes muss massive politische Konsequenzen haben, denn dies war ein datenschutzrechliches Versagen mit Ansage. DSGVO-Verstöße in solch einem Ausmaß müssen genauso existenzbedrohend für die Firmen sein, wie sie es für Tante Emma sind und darüber hinaus sollte kein Mitarbeiter einer Behörde, keine Schule, keine Verwaltung bis hin zu den öffentlich rechtlichen Sendeanstalten weder WhatsApp, Instagram oder ein anderes Meta-Produkt nutzen dürfen, denn das ist fahrlässiger Umgang mit Steuergeldern und widerspricht alleine schon dem Gedanken, dass der Staat seine Bürger schützen soll!

    Wechseln Sie lieber heute als morgen zu sichereren Dienste, denn der nächste Leak kommt!

    Quellen:
    [1] Heise.de 3,5 Milliarden Konten – Komplettes Whatsapp Verzeichnis abgerufen und ausgewertet
    [2] BSI Informationen und Empfehlungen – Chat-Messenger – Messenger sicher nutzen

    Ihr Ansprechpartner:

    Bundespressestelle Bundesgeschäftsstelle,
    Presse- und Öffentlichkeitsarbeit
    Piratenpartei Deutschland
    Pflugstraße 9A | 10115 Berlin

    E-Mail: presse@piratenpartei.de
    Web: www.piratenpartei.de/presse

    Telefon: 030 / 60 98 97 510

    Alle Pressemitteilungen finden Sie online unter: https://redesign.piratenpartei.de/category/pm/

  • Infiltration für alle – PIRATEN zur Novelle des Verfassungsschutzgesetzes

    Infiltration für alle – PIRATEN zur Novelle des Verfassungsschutzgesetzes

    Die Bundesregierung hat am 20. Oktober einen Gesetzesentwurf beschlossen, mit dem sie die Möglichkeit des Einsatzes von Staatstrojanern ausweitet. Nicht mehr nur das Bundesamt für Verfassungsschutz und der Bundesnachrichtendienst können auf diese Einbruchswerkzeuge zurückgreifen, sondern im Falle der Zustimmung durch Parlament und Rat zusätzlich auch noch alle 16 Inlandsgeheimdienste der Bundesländer und der Militärgeheimdienst MAD. Wir PIRATEN sind klare Gegner von Staatstrojanern, das haben wir bereits mehrfach deutlich gemacht. Sie stellen für uns eine Gefährdung und systematische Schwächung unserer Kommunikationsinfrastruktur dar, weil Sicherheitslücken aufrechterhalten werden (müssen), um informationstechnische Systeme zu Abhörzwecken zu infiltrieren. Mit einem solch starken Bekenntnis der Bundesregierung zu Staatstrojanern wird deutlich, dass sie das Verhältnis zum Bürger neu definieren möchten. Das Bundesinnenministerium erklärt, „Der Staat ist verfassungsrechtlich verpflichtet, die Bevölkerung zu schützen.“. Diese Aussage ist natürlich der blanke Hohn, wenn man die aktive Rolle bei der Geheimhaltung von Sicherheitslücken berücksichtigt, die letzten Endes alle gefährdet.

    Aus diesem Grund sind wir PIRATEN auch bereits vor das Bundesverfassungsgericht gezogen [1], als der Staatstrojaner von der schwarz-grünen Landesregierung in das hessische Polizeigesetz aufgenommen wurden. 

    Aber eine weitere Befugnis im Rahmen des Regierungsentwurfs ist besonders bedenklich. Und hierauf haben wir schon häufiger hingewiesen (hier [2] zum Beispiel). Mobilfunkanbieter werden dafür eingespannt, Überwachungssoftware auf die Mobilfunkgeräte aufzuspielen. Es wird also seitens der CDU/CSU-SPD-Bundesregierung versucht, alles zu tun, um die Mittel zu haben, jede vertrauliche Kommunikation zwischen Bürgern unterbinden zu können. Wie drastisch dieser Schritt ist und zu welchen Möglichkeiten der Aufbau dieser informationstechnischen wie juristischen Infrastruktur führt, wenn die Zeiten für einen Staat schlechter werden, kann man derzeit in Belarus beobachten. Nach wie vor protestieren dort zehntausende Bürger für Demokratie. Ein repressiver Staat tut alles, um diese Proteste zu ersticken und den so wichtigen Wunsch zu unterdrücken. Hierbei geht er schon längst über den Einsatz von Gewalt in den Straßen und Verschleppung durch die Sicherheitsdienste hinaus. Aktuelles Mittel ist hier nun, mithilfe des Telekommunikationsanbieters A1 geschützten Datenverkehr unter seine Kontrolle zu bringen. Solche Aktionen werden in der modernen digitalen Welt als Angriff angesehen. Bei uns haben wir nun die gesetzliche Grundlage, um gegen erklärte „Feinde der Demokratie“ gleichermaßen vorzugehen.

    Letztendlich müssen Sicherheit und Schutz der Daten (egal, ob aus den Bereichen Privat, Wirtschaft oder Behörden/Regierung) und der Verbindungen im Interesse der Gesellschaft uneingeschränkt gesichert werden. Dafür müssen Sicherheit und Datenschutz klaren Vorrang vor der Möglichkeit der Informationsgewinnung, -manipulation und -sperrung durch eigene Sicherheitsbehörden haben – vor allem, weil Sicherheitslücken auch staatlichen und nichtstaatlichen Akteuren und damit Gegnern Deutschlands oder der EU Angriffsmöglichkeiten bieten.

    „Was nach diesem Regierungsentwurf zurück bleibt, ist der bittere Geschmack, dass CDU, CSU, SPD und Grüne nach Macht und Rechten greifen, wann immer sie können. Und dabei nehmen sie gerne in Kauf, dass Computer in Krankenhäusern, bei Gerichten oder zu Hause beispielsweise von Kriminellen zur Erpressung verschlüsselt werden. In einer Zeit, wo immer neue Informationen über demokratiefeindlicher Kräfte bei den Sicherheitskräften ans Tageslicht kommen und wir wissen, dass diese bereits die zur Verfügung stehenden Mittel genutzt haben, um Menschen einzuschüchtern und zu bedrohen, müssen bei so einem Gesetzesentwurf alle Alarmglocken klingeln.“,

    resümiert Sebastian Alscher, Bundesvorsitzender der Piratenpartei Deutschland.

     

    Quellen/Fußnoten:

    [1] https://www.piratenpartei-hessen.de/blog/2019/06/27/piraten-reichen-verfassungsbeschwerde-gegen-hessentrojaner-ein/

    [2] https://digitaler-wandel.piratenpartei.de/netzpolitik/gedanken-zur-umleitung-des-internetverkehrs/

  • Borys Sobieski im Interview: Verletzt die Corona-App deine Privatsphäre?

    Borys Sobieski im Interview: Verletzt die Corona-App deine Privatsphäre?

    Unser Generalsekretär Borys Sobieski wurde von PrivacyTutor zur Corona-Warn-App interviewed. Die App wurde mittlerweile über 12 Millionen Mal heruntergeladen und war schon vor ihrem Release rege diskutiert worden. Viele hatten vor allem Bedenken zur Datensicherheit und dem Schutz privater Daten. Es ist den Entwicklern der App jedoch gelungen, hier für positive Überraschungen zu sorgen: die Bedenken wurden wahrgenommen und vernünftig adressiert.

    „Das Ding ist freiwillig. Wer die Idee gut findet, der kann die App benutzen. Aus einem technischen Standpunkt heraus ist die App so, dass die Piratenpartei, der CCC, Heise und viele andere nicht meckern können.“,

    resümiert Borys Sobieski im Interview.

    Die Entwicklung der App verlief vorbildlich und es bleibt zu hoffen, dass dieser Präzedenzfall Schule macht. Eine offizielle App transparent, offen und unter Einbeziehung der Nutzer zu programmieren, ist möglich. Dies hat sich nun klar gezeigt. Belohnt wurde das mit einer breiten Nutzerbasis. Wir PIRATEN sagen: Weiter so!

  • Datenmissbrauch bei Twitter – Piraten erneuern Forderung nach dem Recht auf Anonymität bei Online-Diensten

    Datenmissbrauch bei Twitter – Piraten erneuern Forderung nach dem Recht auf Anonymität bei Online-Diensten

    Wie der Kurznachrichtendienst Twitter nun einräumte, wurden Telefonnummern und E-Mail-Adressen, welche Nutzer angegebenen haben, um über die Zwei-Faktor-Authentifizierung (2FA) ihr Nutzerkonto abzusichern, missbräuchlich dazu verwendet, Werbung zu personalisieren.

    Vor gut einem Monat forderte die Piratenpartei bereits, ebenfalls anlässlich eines Datenschutzvorfalls mit 2FA-Telefonnummern bei Facebook, datensparsamere Alternativen zur anonymen Nutzung von Online-Diensten.

    „Es ist nicht nur bei Twitter eine verbreitete Unsitte, dass Nutzer unentwegt aufgefordert werden, ihre Handynummer anzugeben. Das ist oft bei neuen Verträgen eine Voraussetzung dafür, diese überhaupt aktivieren zu können. Dass hier das Vertrauen der Nutzer, die sich eigentlich mehr Sicherheit für ihre Accountdaten versprachen, quasi ins Gegenteil verkehrt wurde, muss Konsequenzen haben.
    Wir erwarten nun, dass Twitter die betroffenen Nutzer zeitnah über den Vorfall informiert.“

    so Frank Herrmann, Themenbeauftragter Datenschutz der Piratenpartei Deutschland.

    Da mittlerweile viele Nutzer überwiegend das Smartphone verwenden, um auf Social-Media-Dienste zuzugreifen, ist der Sicherheitsgewinn einer SMS-Authentifizierung, die über dasselbe Gerät empfangen wird, fragwürdig. Separate U2F-Security-Tokens, die über USB oder NFC mit dem Endgerät kommunizieren, stellen eine sicherere und datenschutzfreundlichere Lösung dar.


    Wer gerne etwas bastelt, kann sich für unter 2€ aus einem St-Link-v2-Clone selbst ein U2F-Token bauen.

    Eine ähnliche Problematik besteht mit der neuen EU-Zahlungsdiensterichtlinie PSD2, die Banktransaktionen besser absichern soll. Viele Banken setzen hier derzeit vor allem auf das mTAN-Verfahren, bei dem die Kunden TANs per SMS erhalten. Realitätsfern ist dabei, dass Online-Banking und der Empfang SMS-TAN auf dem gleichen Gerät aus Sicherheitsgründen nicht gestattet sind, der Hinweis dazu aber meist tief in den Allgmeinen Geschäftsbedingungen versteckt ist. So verstoßen Smartphone-Nutzer, die nur ein einzelnes Gerät für das Online-Banking benutzen, regelmäßig gegen die Bedingungen der Banken, und müssen im Missbrauchsfall damit rechnen, auf ihrem Schaden sitzen zu bleiben. Auch hier gibt es beispielsweise Chip-TAN Verfahren, die einerseits sicherer sind, andererseits aber auch die Weitergabe der Handynummer an die Bank überflüssig machen.

  • Keine Patientenakte ohne Datenschutzkonzept

    Keine Patientenakte ohne Datenschutzkonzept

    Ab Januar 2021 will Bundesgesundheitsminister Jens Spahn die elektronische Patientenakte einführen. Es ist prinzipiell keine schlechte Idee, die Möglichkeiten der Digitialisierung auch im Gesundheitswesen stärker zu nutzen als bisher. Allerdings gibt es einen ganz wesentlichen Unterschied zwischen zum Beispiel der industriellen Prozessautomatisierung und der Effektivierung der Abläufe in den Bereichen von Medizin und Pflege. Bei letzteren geht es um Menschen, deren persönliche Daten schützenswert sind.

    „So wie Spahns Pläne derzeit aussehen, wäre deren Umsetzung aus Sicht der Patienten eine einzige Katastrophe“

    erklärt Frank Herrmann, Vorsitzender der Piratenpartei NRW und Bundesthemenbeauftragter für Datenschutz der Piratenpartei und ergänzt:

    „Jeden Befund, den ein Arzt in die Patientenakte einträgt, können weitere Ärzte, aber auch Apotheker oder Physiotherapeuten, einfach alle, die Zugriff auf die Akte bekommen, einsehen. Der Patient kann keinen Einfluss darauf nehmen, für wen welche seiner sensiblen persönlichen Daten zugänglich sind. Bei der elektronischen Patientenakte sind offensichtlich grundsätzliche Regeln des Datenschutzes völlig ignoriert worden. Das Projekt muss daher sofort gestoppt werden.“

    „Das heißt, wenn ich einen Zahnarzttermin habe, erfährt der Zahnarzt, dass ich wegen einer Depression in Behandlung bin. Geht das den Zahnarzt etwas an?“

    empört sich Sandra Leurs, Bundesbeauftragte der Piratenpartei für Gesundheit und Pflege, zu Recht.

    Auch ist die elektronische Patientenakte in der von Spahn angedachten ersten Variante nur rudimentär vor Kriminellen geschützt. Gesundheitsdaten vieler Patienten könnten leicht in falsche Hände gelangen und zu deren Nachteil verwendet werden. Potentielle Arbeitgeber sind durchaus am Gesundheitszustand von Bewerbern interessiert oder auch Lebensversicherungen an dem ihrer Kunden.

    Sandra Leurs resümiert:

    „Bevor die elektronische Patientenakte eingeführt wird, muss technisch dringend nachgebessert werden, um Datenschutz gemäß DSGVO zu gewährleisten. Wir PIRATEN finden es recht merkwürdig, wenn Herr Spahn diese Nachbesserungen für später verspricht, aufgrund seiner zeitlich ambitionierten Herangehensweise aber Schaden für die Patienten billigend in Kauf nimmt.“

  • Whatsapp Hack, wir nennen sichere Alternativen

    Whatsapp Hack, wir nennen sichere Alternativen

    WhatsApp ist in die Schlagzeilen geraten. Eine Sicherheitslücke machte es Angreifern möglich, Spionagesoftware nachzuladen. Die Entrüstung war groß, gehört doch WhatsApp in Deutschland zu den beliebtesten Messenger-Diensten.
    Es liegt nahe, einen Dienst zu verwenden, den auch alle Freunde und Bekannten nutzen. Mit diesem Komfort muss man zugleich eine Kröte schlucken. Es beginnt damit, dass die Software unbedingt Zugriff auf die Adressen benötigt. Nicht einmal das Senden von Nachrichten ist ansonsten möglich. Die Server, die den Dienst ermöglichen, gehören seit 2014 Facebook. Eine tatsächliche Kontrolle darüber, was mit den erfassten Adressen geschieht, gibt es daher nicht.
    Die Weitergabe eigener Adresslisten ist zwar ein wesentliches, jedoch bei weitem nicht das einzige Sicherheitsproblem. Es stellen sich weitere Fragen: Gibt es eine Ende-zu-Ende Verschlüsselung und eine Verschlüsselung des Datentransports, die das Abfischen von Nachrichten deutlich erschwert? Wer hostet die Server, auf denen die Dienste laufen? WhatsApp verschlüsselt zwar schon sehr lange, aber wer traut heute noch US-Servern mit eingebautem NSA-Anschluss?
    Wir jedenfalls nicht.

    Als PIRATEN kämpfen wir für ein freies und sicheres Internet. Es gibt durchaus Alternativen zu WhatsApp, die sich sinnvoll, dem eigenen Sicherheitsbedarf entsprechend, einsetzen lassen. Dabei geht es wie immer um den Spagat zwischen Sicherheit und Bequemlichkeit. Es ist sehr einfach, die Apps des Mainstreams zu nutzen. Dies ist aber zugleich die Achillesferse dieser Angebote. Für Geheimdienste, Strafverfolgungsbehörden und Hacker ist es besonders lohnenswert, sich genau dort einzuklinken, um Daten abzufischen.

    Als alternativen Messenger können wir Signal empfehlen. Signal wird allein durch Spenden finanziert und basiert komplett auf Open Source (frei zugängliche Software). Experten können damit prüfen, ob Hintertüren eingebaut wurden. Zudem werden standardmäßig nahezu alle Informationen verschlüsselt. Nicht einmal die Serverbetreiber sehen, wer mit wem kommuniziert oder gar, wer im Telefonbuch des anderen steht.

    Durch einen Softwaretrick mit sogenannten Hashfunktionen kann Signal dennoch ganz bequem die Kontakte im Telefonbuch importieren. Sprachnachrichten und Anrufe werden unterstützt und haben hervorragende Qualität. Da Signal so viel Wert auf Datenschutz legt, muss man allerdings auch kleine Einschränken hinnehmen. So können Gruppen zum Beispiel nicht administriert werden. Signal funktioniert trotz Zensur sogar in China und auch Ägypten scheiterte daran, den Messenger zu zensieren. Mit unserer Empfehlung von Signal schließen wir uns Edward Snowden an.

    Für wen Signal aufgrund der Einschränkungen oder aus anderen Gründen keine Option ist, dem können wir die Übersicht von Mark Williams ans Herz legen, der die verschiedenen Apps in allen Details vergleicht. Dort sieht man beispielsweise, dass die oft auch für Datenschutz empfohlene App Telegram doch einige Mängel im Vergleich zu Signal aufweist, Threema hingegen eine weitere gute Alternative zu Whatsapp darstellt.

    Auch für die moderierte Kommunikation in Unternehmen gibt es zahlreiche Open-Source Alternativen. Mattermost bietet organisierten Chat ähnlich zu Slack, Mumble ersetzt Telefonkonferenzen und überrascht dank moderner Codecs mit herausragender Sprachqualität. Beide werden von den PIRATEN verwendet und garantieren die Kontrolle über die eigenen Daten. Für die Installation finden sich zahlreiche Anleitungen im Netz und manches Verwaltungstool vereinfacht sie gar zu einem Klick.

    Es zeigt sich also: Es gibt viele gute Apps und Anwendungen, die die Privatsphäre achten. Je mehr Menschen diese Programme benutzen, desto einfacher wird es, andere zu überzeugen.

  • Die Bundestagswahl ist manipulierbar – Gut gemeint ist nicht gut gemacht

    Die Bundestagswahl ist manipulierbar – Gut gemeint ist nicht gut gemacht

    Die bundesweit in Kommunen eingesetzte Software der Bundestagswahl ist unsicher, haben Journalisten von ZEIT ONLINE gemeinsam mit Fachleuten vom Chaos Computer Club herausgefunden und in einem Beitrag dokumentiert. Der Bundeswahlleiter und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind zwar alarmiert, aber leider viel zu spät. In der heutigen Heise-Show wird um 12 Uhr mit dem Sprecher des CCC Linus Neumann öffentlich darüber diskutiert, ob das Wahlergebnis sicher sein werde.

    Das Kind ist bereits in den Brunnen gefallen

    Gehandelt wird später, denn die verantwortlichen politischen Stellen sind der Meinung, die Digitalisierung komme ja erst in 10 bis 20 Jahren. Ein grundsätzliches Problem.

    Sebastian Alscher, Sprecher für Finanzen und Spitzenkandidat der Piratenpartei Deutschland dazu: „Wieder zeigt sich: Gut gemeint ist nicht gut gemacht. Wahlen sind das Lebensblut der demokratischen Legitimation. Die Fahrlässigkeit im Umgang mit ihrer Umsetzung ist höchst alarmierend und unbegreiflich. Dass Wahlsoftware am Wahlabend die Prozesse erleichtert ist legitim, sollte aber niemals dermaßen ungeprüft und als alleiniges Mittel in Einsatz genommen werden. Besonders ärgerlich ist hier, dass die Piratenpartei schon vor zwei Legislaturperioden darum gekämpft und sogar geklagt hat, um die gebotene Sorgfalt walten zu lassen. Hier muss man von Vorsatz reden, das kann man nicht als Blauäugigkeit abtun, es ist schlichtweg ignorant und gefährlich! Es zeigt, wieviel Nachholbedarf im Verständnis der Digitalisierung noch besteht.“

    Vertrauen in die Demokratie würde erschüttert

    Die Analyse des CCC listet in ihrem Fazit eine Vielzahl von politischen Forderungen auf, die zeigen, dass das System in der jetzigen Form nicht bestehen bleiben kann und grundlegend verbessert werden muss. Der gesamte Zustand zeigt auf, warum die von der Piratenpartei vor zwei Jahren geforderte Offenlegung des Source-Codes der Software so wichtig gewesen wäre. Eine Software wird nicht durch ein Verheimlichen des Programmcodes sicher, sondern u.a. durch die Verwendung geeigneter Verschlüsselungstechnologien. Ein Zitat auf Seite 4 des Berichts schlussfolgert:

    „Eine Manipulation würde demnach mit großer Wahrscheinlichkeit auffallen, das Vertrauen der Bürger in die Demokratie und die Integrität des Wahlvorganges jedoch mitunter schwer erschüttern.“
    Chaos Computer Club

    Jede Software ist potentiell anfällig

    „Ebenso überraschend ist die berichtete Reaktion des Landeswahlleiters, lediglich sämtliche mit der Software „PC-Wahl“ übertragenen Ergebnisse zu überprüfen. Denn die Analyse zeigt, dass potentiell jede Wahlsoftware manipulationsanfällig sein könnte, nicht nur diese eine. Die Verwendung einer symmetrischen Verschlüsselung allein sollte bereits Grund genug sein, das aktuelle Konzept kritisch zu hinterfragen. Hier scheint man sich möglicherweise des wirklichen Ausmaßes des Risikos nicht bewusst zu sein“, so Anja Hirschel, Sprecherin für Digitalisierung und Spitzenkandidatin der Piratenpartei Deutschland.

    Die Piratenpartei Deutschland setzt sich darüberhinaus in ihrem Wahlprogramm für die Abschaffung des sogenannten „Hackerparagraphen“ § 202c StGB ein, damit solche Aufdeckungen straffrei bleiben. Der Hackerparagraph sorgt für erhebliche Rechtsunsicherheit und öffnet Tür und Tor für willkürliche Verfolgung von im IT-Sicherheitsbereich tätigen Personen.

    UPDATE: Hier findet ihr die Aufzeichnung der Heise-Show

    Spendenhinweis: Wir benötigen deine Unterstützung, damit wir unsere Arbeit machen können. Hilf uns durch deine Spende. Online spenden: https://spenden.piratenpartei.de/ oder Konto 4796586 | Deutsche Skatbank | BLZ 83065408

  • Cyber-Feuerwehr: Ein Realitätsabgleich

    Cyber-Feuerwehr: Ein Realitätsabgleich

    Es ist Wahlkampf und Sommerloch! Die Zeit für markige Sprüche, wilde Ideen, blinden Aktionismus, haarsträubende Vergleiche und einfach klingende Lösungen für komplexe Probleme. Thomas de Maizière (CDU), der sich als Bundesinnenminister auch schon mal eine Statistik einfach ausdenkt statt sich an Fakten zu orientieren, hat nun die Einrichtung einer Art ehrenamtlicher „Cyber-Feuerwehr“ angeregt.

    Beim Begriff „Cyber“ bekommen viele IT-Sicherheits Experten bereits eine Gänsehaut. Spätestens bei der Vorstellung, „junge Menschen […], die man nicht mehr für die klassische Feuerwehr gewinnen könne“ im Falle eines IT-Sicherheitsvorfalls auch nur in die Nähe ihrer IT zu lassen, müssen sich jedem professionellen Administrator die Nackenhaare sträuben. Die Reihe an möglichen Verletzungen der Sorgfaltspflichten im Rahmen der Datenschutzgrundverordnung (und der daraus resultierenden Haftung!) möchte ich mir hier nicht ausmalen.

    IT-Sicherheit ist kein Kinderspielplatz

    Umso mehr gilt dies in professionellen IT-Umgebungen und kritischen Infrastrukturen. IT-Sicherheit ist ein komplexes Feld für Experten, kein Kinderspielplatz. Gerne werden bei diesem Thema auch in die Tausende gehende Zahlen von wöchentlichen Angriffen auf Bundeswehr oder einzelne deutsche DAX Unternehmen genannt. Bei näherer Betrachtung sind diese Zahlen jedoch irrelevant, weil der überwältigende Teil solcher Angriffe nicht individuell sondern mit IT-Technologie selbst abgewehrt wird.

    Natürlich gibt es Bedrohungen und immer wieder verschaffen spektakuläre Fälle wie WannaCry dem Thema öffentliche Aufmerksamkeit. Wer mit der Materie vertraut ist, bemerkt jedoch schnell, wie fachfremd und erschreckend naiv Politiker in Talkshows mit dem Thema umgehen: Dem Bundesinnenminister untersteht das Bundesamt für Sicherheit in der Informationstechnik (BSI). Statt von „Cyber-Feuerwehr“ sprechen Experten dort von Computer Emergency Response Teams (CERT). Das BSI unterhält seit 2001 ein eigenes CERT. Mit dem „Bürger-CERT“ wendet sich das BSI auch für technische Laien verständlich bereits seit über 10 Jahren an interessierte Bürger und kleine Unternehmen. Große Unternehmen wie IBM, Siemens, oder die Deutsche Telekom haben schon längst eigene Teams. Diese sind das Gegenteil einer „ehrenamtlicher Cyber-Feuerwehr“: Für die Aufgabe werden hoch spezialisierte IT Sicherheitsfachleute eingesetzt.

    Mehr Aufklärung – auch für Bundesinnenminister!

    Es ist wichtig, dass durch Aufklärung ein größeres Bewusstsein für die Risiken beim Einsatz von IT-Systemen geschaffen werden muss. Dies gilt für jeden Einzelnen, besonders für den Bundesinnenminister. „Mehr Bildung“ ist schon immer eine zentrale Forderung der Piratenpartei gewesen. Ein Pflichtfach Informatik könnte einen Anfang machen, um zumindest die heranwachsende Generation besser auf die Digitalisierung vorzubereiten. Damit würde das Bewusstsein für die vielfältigen Herausforderungen direkt gefördert. Die Bereiche sind vielfältig: Es fängt bei der täglichen Benutzung des Smartphones an und reicht bis zum Einsatz veralteter, risikobehafteter oder ungewarteter Software in hochkritischen Systemen.

    Erschreckenderweise fehlt dieses Bewusstsein sogar auf mit Nuklearwaffen bestückten U-Booten in Großbritannien. Die Probleme sind tatsächlich deutlich vielschichtiger und tiefergehender, als es unsere Bundesregierung, die verzweifelt mit dem „Cyber“-Begriff um sich wirft, öffentlich zugeben möchte. Bezwecken die Forderungen, fachpolitische Kompetenz zu suggerieren, gleichzeitig schrittweise die Datensicherheit in die Hände einer „zentralen staatlichen IT“ hin zu verschieben? Hacking als Service, Staatstrojaner inklusive? Das Prägen von Phantasiebegriffen und Aktionismus sind einer sinnvollen Debatte abträglich. Woran es mangelt ist ein umfassender IT-Sicherheitsplan und die direkte Zusammenarbeit zwischen IT-Sicherheitswirtschaft, dem Handwerk und der Politik.

    Es braucht offensichtlich frischen Wind in der Politik, der auch endlich IT-technisches Know-How direkt in die Entscheidungsetagen weht. Sonst bleibt uns nur, das Ganze mit Humor, eher wohl Galgenhumor, zu ertragen.

    33c3: Security Nightmares 0x11 mit Frank und Ron

    Was hat sich im letzten Jahr im Bereich IT-Sicherheit getan? Welche neuen Entwicklungen haben sich ergeben? Welche neuen Buzzwords und Trends waren zu sehen?