Freitag, März 28, 2008

SECURITY - Viren ab Werk

Früher Disketten, dann E-Mails und Websites: Die Möglichkeiten, seinen Computer mit Trojanern und Viren zu infizieren, sind bekannt. Jetzt droht die Gefahr von einer weiteren Seite: Manche Geräte kommen bereits infiziert aus der Fabrik, darunter einige iPods und Navis.
Ob es der iPod oder das Navigationssystem ist, bei etlichen fabrikneuen Geräten muss sich der Käufer inzwischen auf unerwünschte Extras einstellen: Computerviren, die Passwörter stehlen, Hackern Hintertüren öffnen oder den Rechner zur Spam-Schleuder machen.
Schon seit Jahren werden Computernutzer gewarnt, dass durch E-Mail-Anhänge oder Downloads aus dem Internet Schadprogramme auf ihren Rechner kommen können. Inzwischen besteht aber auch die Gefahr, dass sie sich Viren einfach dadurch einfangen, dass sie das neue Ostergeschenk an den Rechner anschließen.
Die Quelle für solche Viren sind in den meisten Fällen chinesische Betriebe, in denen die Geräte hergestellt werden. Betroffen waren bislang nach Informationen der Nachrichtenagentur AP iPods von Apple, digitale Bilderrahmen und TomTom-Navigationsgeräte.
Das Problem mit den Viren scheint dabei eher auf nachlässige Sicherheitskontrollen als auf mutwillige Sabotage zurückzuführen zu sein. Es ist offenbar ähnlich wie bei anderen Produkten aus China, bei denen jüngst Mängel oder zu hohe Schadstoffkonzentrationen festgestellt wurden. Dabei ist nur schwer abzuschätzen, wie groß dieses Problem tatsächlich ist. Angesichts des Umfangs der Massenfertigung von elektronischen Geräten könnte die Zahl der so in Umlauf gebrachten Viren aber sehr hoch sein.
"Es ist wie mit den Kakerlaken, sie schalten das Licht in der Küche ein und sie rennen weg", sagt Marcus Sachs, der die Forschungsgruppe SANS Internet Storm Center leitet. "Sie denken, sie haben nur eine Kakerlake? Es gibt vielleicht Tausende von diesen kleinen Dingern, die sie nur nicht sehen."
Der IT-Berater Jerry Askew aus Los Angeles kaufte einen digitalen Bilderrahmen, um damit seine 81-jährige Mutter am Geburtstag zu überraschen. Als er das Gerät an den PC anschloss, um Bilder heraufzuladen, erlebte er einige Überraschungen. Sein Antivirenprogramm schlug Alarm. Auf dem Bilderrahmen fanden sich insgesamt vier Viren, darunter einer zum Diebstahl von Passwörtern. "So etwas erwartet man doch nicht", beschwerte sich Askew.

Infiziert bei der Qualitätskontrolle


Sicherheitsexperten vermuten, dass die Schadprogramme im letzten Produktionsprozess auf die Geräte gelangen, dann, wenn sie die Fertigungsstraße verlassen und zu Funktionstests an einen Computer angeschlossen werden. Auch hier muss keine Absicht vorliegen. So hatte vielleicht ein Mitarbeiter zuvor nur einmal seinen eigenen verseuchten MP3-Player angeschlossen, um ihn aufzuladen. Aber Sicherheitsexperten befürchten, dass Hacker diese Schwachstelle ausnutzen. "Das könnte in nächster Zeit noch zunehmen", sagt Zulfikar Ramzan von Symantec. "Die Hacker warten derzeit noch etwas ab, um zu sehen, ob es sich lohnt." Fachleute raten den Käufern neuer Geräte trotzdem, auf jeden Fall ihre Antivirensoftware auf dem neuesten Stand zu halten. Werden Geräte an den Computer angeschlossen, dann sollten sie automatisch auf Viren überprüft werden. Aber das hilft auch nicht immer. Wie Sicherheitsexperten der Firma CA berichteten, wurde in einem digitalen Bilderrahmen ein zuvor unbekannter Virus gefunden, der Passwörter von Online-Games ausspionieren sollte. Wirtschaftswissenschaftler fordern deshalb eine stärkere Kontrolle der Lieferfirmen in China und anderen Ländern, auch wenn dies teuer ist und die Einsparungen durch das Outsourcing der Produktion schmälert. "Es ist doch genau das gleiche, ob es nun um Software oder verseuchte Zahnpasta oder Hundefutter geht", sagt Yossi Sheffi, Professor am Massachusetts Institute of Technology (MIT). "Es geht immer um Qualitätskontrolle."

Labels:

SECURITY - Schadsoftware statt EM-Ticket






















Tickets für die Fußball-Europameisterschaft 2008 in Österreich und der Schweiz sind ein begehrtes Gut. Allein für die rund 418.000 Karten, die in einer ersten Tranche im vergangenen Jahr angeboten wurden, gingen knapp 8,5 Millionen Bestellwünsche ein. Vorsichtig sollten Fußballfans sein, wenn sie im Internet selbst nach Tickets suchen.

Wer etwa die Seite der Ticketbörse euroticketshop.com aufruft, läuft Gefahr, seinen Rechner mit Malware zu infizieren. Sophos erkennt das Schadprogramm, das Code von anderen manipulierten Websites nachladen soll, bereits seit Dezember 2007 als Mal/ObfJS-R. Aus dieser Zeit stammen auch erste Hinweise in Internet-Foren, dass die Ticketbörse den Schadcode verteilt.
Tests von heise Security ergaben, dass wahrscheinlich nur die Seite für den Ticketverkauf betroffen ist, den das Skript /buy_ticket.aspx abwickelt. Am Seitenende befindet sich schädlicher Java-Script-Code, der nach Angaben von Sophos jedoch Fehler enthält, so dass er funktionsunfähig oder zumindest nicht auf allen Browsern lauffähig ist.(Quelle:Heise.de)

Labels:

Mitarbeiter-Bespitzelung bei Lidl sorgt weiter für Empörung

Datenschützer, Politiker und Gewerkschaften machen gegen die Discounter-Kette Lidl nach Berichten über die Stasi-ähnliche Überwachung zahlreicher Ladenräume mobil. Von dem Skandal sollen nach Angaben von Experten nicht nur Mitarbeiter betroffen gewesen sein. Auch Kunden seien möglicherweise etwa beim Bezahlen gefilmt worden, sagte die stellvertretende Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Marit Hansen. "Wie auf den veröffentlichten Kamerabildern zu sehen ist, wurden im Kassenbereich zum Beispiel auch die Eingabegeräte erfasst, in die die Kunden bei Kartenzahlung ihre Geheimzahlen eingeben."
Vereinzelte Abhörberichte stammen laut Hansen auch aus Schleswig-Holstein. Das ULD habe daher den Lebensmittelverkäufer aufgefordert, den Sachverhalt aufzuklären. "Eine systematische heimliche Überwachung ohne konkreten Verdacht eines schwerwiegenden Vergehens greift in unzulässiger Weise in das Persönlichkeitsrecht der Arbeitnehmer ein", meinte die Datenschützerin. Zuvor hatte das baden-württembergische Innenministerium Ermittlungen aufgenommen, da Lidl dort seinen Konzernsitz hat. Es werde geprüft, ob die Beschäftigten in zahlreichen Filialen systematisch überwacht wurden, sagte eine Sprecherin der zuständigen Aufsichtsbehörde. Die mögliche Höchststrafe betrage 250.000 Euro.

Die stellvertretende Bundesvorsitzende der Gewerkschaft ver.di, Margret Mönig-Raane, erwägt derweil Möglichkeiten, Musterklagen gegen Lidl anzustrengen. Betroffene Gewerkschaftsmitglieder könnten von der Gewerkschaft Rechtsschutz bekommen und ihren Arbeitgeber auf Schadenersatz verklagen. "Diese Bespitzelung hat ein unglaubliches Ausmaß", entrüstete sich Möning-Raane. Das "System Lidl" habe damit einen Offenbarungseid geleistet. Die Gewerkschafterin äußerte zugleich den Verdacht, dass der Lidl-Vorstand die "kriminellen Machenschaften" gebilligt habe. Sie forderte Lidl auf, mit ver.di einen Tarifvertrag abzuschließen und die Gründung von Betriebsräten zuzulassen.
Das Lidl-Geschäftsleitungsmitglied Jürgen Kisseberth bestritt gegenüber N24, dass eine systematische Überwachung gepflegt worden sei. Er sprach von "übereifrigen Detektiven". Es habe "keine Erwartung und keinen Auftrag von uns" für die ausführlichen Protokolle. Diese hätten "bei uns keine weitere Berücksichtigung in der weiteren Vorgehensweise gefunden". Die Firma hatte zuvor angekündigt, die Zusammenarbeit mit externen Detekteien sofort beenden zu wollen. Vor seinen Filialen informiert der Discounter mittlerweile Kunden auf Zetteln über seine Position. Darin entschuldigt sich Lidl und versichert, dass sich so etwas "nicht wiederholen wird". Man habe aus den Vorfällen gelernt. Generell werde "entsprechend den Führungsgrundsätzen des Unternehmens ein offener und vertrauensvoller Umgang mit allen Mitarbeitern gelebt". In einem Brief der Geschäftsführung an die Mitarbeiter hieß es zudem: "Wenn Sie sich in Misskredit gebracht und persönlich verletzt fühlen, so bedauern wir dies außerordentlich und entschuldigen uns dafür bei Ihnen."
Der Bundesbeauftragte für den Datenschutz, Peter Schaar, forderte indes einen verbesserten Arbeitnehmerdatenschutz. "Die Überwachung von Mitarbeitern ist alles andere als ein Einzelfall", beklagte er. In vielen anderen Bereichen würden Arbeitnehmer heute bereits über Zugangskontroll- oder Ortungssysteme überwacht. Schaar mahnte die Bundesregierung, endlich Abhilfe zu schaffen. Die grüne Innenexpertin Silke Stokar befand, dass es beim "Wiederholungstäter Lidl nicht bei einer Abmahnung bleiben kann". Die Unternehmensmanager müssten diesmal zur Rechenschaft gezogen werden. Der Fall Lidl mache darüber hinaus deutlich, wie zahnlos der Datenschutz im privaten Bereich sei. Da hier die Länder zuständig seien, lägen Statistiken über eingeleitete Verfahren und verhängte Sanktionen nicht vor. FDP-Innenpolitikerin Gisela Piltz forderte, das Bundesdatenschutzgesetz zu novellieren und den Datenschutz im nicht-öffentlichen Bereich zu stärken. "Darüber hinaus brauchen wir eine gesamtgesellschaftliche Diskussion über den Stellenwert des Datenschutzes in Zeiten des technischen Fortschritts.
Auch der Ethikverband der Deutschen Wirtschaft (EVW) zeigte sich empört: "Abgesehen von der juristisch zu klärenden Frage des Datenschutzes ist es kaum nachvollziehbar, wie sehr ethisch-moralisches Bewusstsein hier mit Füßen getreten wird." Ironie am Rande: Der sich gern im Hintergrund haltende Lidl-Patriarch Dieter Schwarz fördert nicht nur in Heilbronn die örtliche Business School, sondern auch in Halle einen Lehrstuhl – just für Wirtschaftsethik.

Labels:

Donnerstag, März 27, 2008

Web-2.0-Bildbearbeitung Photoshop Express ist online

Adobe gibt die im vergangenen Jahr angekündigte Public Beta der kostenlosen Online-Bildbearbeitung Photoshop Express frei. Die Anwendung setzt den Flash Player 9 voraus und bietet dafür Galerie- und Bearbeitungsfunktionen. Bevor es losgeht, muss man seine Bilder allerdings auf einen Adobe-Server laden. Nach Registrierung will Adobe jedem Nutzer bis zu 2 GByte Speicherplatz zur Verfügung stellen.
Die Bearbeitungswerkzeuge gruppiert Adobe in Basic, Tuning und Effects. Zunächst beschneidet man seine Fotos, kann eine Autokorrektur übers Bild laufen lassen und rote Augen korrigieren. Darüber hinaus gibt es eine Belichtungs- und Farbanpassung und eine Funktion zum Schärfen sowie für Soft-Focus. Mit einigen Effektfiltern lässt sich das Foto schließlich in ein Schwarzweißbild oder eine Zeichnung umwandeln. Durch die Bank verzichtet der Dienst auf Schieberegler, sondern bietet in der Kopfzeile mehrere Varianten zur Auswahl an. Per Checkbox lassen sich alle Korrekturen wieder abschalten. Von den Bearbeitungsfunktionen darf man nicht erwarten, dass sie mit denen von Photoshop oder Photoshop Elements mithalten können. Es handelt sich vielmehr um eine Schnellkorrektur für die Präsentation im Web, aber immerhin um eine nicht-destruktive.
Photoshop Express soll ein Dienst sein, über den Nutzer ihre Fotos austauschen können. Beim Hochladen können sie entscheiden, ob die Bilder in öffentlichen oder privaten Alben erscheinen sollen. Private Fotos lassen sich über den E-Mail-Versand eines Links etwas diskreter verbreiten als mit einer öffentlichen Galerie. Aus den Diensten Facebook, Photobucket und Picasa lassen sich eigene Bilder direkt in Photoshop Express öffnen und nach dem Speichern wieder dorthin zurückschicken. Der hierzulande populärere Dienst Flickr soll folgen. So ist der Adobe-Dienst bisher durch und durch amerikanisch, angefangen von der Menüsprache über das verwendete US-Tastaturlayout (wo war nochmal das @?) bis hin zu den integrierten Foto-Communities.
(Quelle:Heise.de)

Labels:

Staatsanwaltschaft verweigert Ermittlung von Tauschbörsennutzern

Die Wuppertaler Staatsanwaltschaft hat sich offen mit der Medienindustrie angelegt. Sie lehnt seit kurzem strafrechtliche Ermittlungen gegen Tauschbörsennutzer kategorisch ab. Massenstrafanzeigen von Rechteinhabern beziehungsweise Rechtsanwaltskanzleien bleiben dort jetzt unbearbeitet, wie die Tageszeitung Wuppertaler Rundschau herausfand.
"Nach hiesiger Auffassung wäre die Aufnahme von Ermittlungen bereits unverhältnismäßig, da die Tatverdächtigen in den Tauschbörsen keinerlei finanzielle Interessen verfolgen", teilte Wolf Baumert, Pressedezernent der Staatsanwaltschaft Wuppertal, nun mit. Es gehe der Musikindustrie nicht um eine Bestrafung der Tatverdächtigen, "sondern um die Ermittlung der Nutzernamen, um Schadensersatzansprüche geltend zu machen oder nachträgliche Abmahnungen zu erteilen".
Den zivilrechtlichen Auskunftsanspruch der Industrie gegen die Provider habe der Gesetzgeber bislang abgelehnt, dies werde "durch die Strafanzeigen unterlaufen", erklärte Baumert. Allein bei der Wuppertaler Staatsanwaltschaft sind eigenen Angaben zufolge im Januar und Februar 2008 etwa 2000 IP-Adressen eingereicht worden, zu denen man den Anschlussinhaber ermitteln sollte.
Die Medienindustrie will sich mit der Verweigerung der Staatsanwaltschaft Wuppertal nicht abfinden. Bei der Generalstaatsanwaltschaft Düsseldorf als übergeordnete Behörde prasseln nun Beschwerden von Rechteinhabern und abmahnenden Rechtsanwaltskanzleien ein. "Dort werden derzeit die Vorgänge geprüft", bestätigte Baumert.

Labels:

LIDL und seine Mitarbeiter

Hier hört man Meinungen zum Spionage-Skandal!

"Lidl-Bespitzelung hat ein unglaubliches Ausmaß"

Die Gewerkschaft Verdi ruft bespitzelte Lidl-Mitarbeiter zu Schadensersatzklagen gegen den Discounter auf. Dies sagte die stellvertretende Bundesvorsitzende Margret Mönig-Raane im Interview mit stern.de. Das vom stern und stern.de aufgedeckte Ausspionieren bei Lidl habe ein "unglaubliches Ausmaß".
Frau Mönig-Raane, wie bewerten Sie den Skandal um die Mitarbeiterüberwachung bei Lidl? Diese Bespitzelung hat ein unglaubliches Ausmaß. Eine solche Systematik habe ich nicht erwartet. Sie dokumentiert tiefstes Misstrauen in die Beschäftigten und dokumentiert die Missachtung der Persönlichkeitsrechte der Mitarbeiter. Das System Lidl leistet einen Offenbarungseid. Lidl scheint unfähig, mit anständigen Methoden gute Geschäfte zu machen.

Glauben Sie dem Unternehmen, dass es nur um Ladendiebstahlkontrolle und nicht um das Ausspionieren der Mitarbeiter ging?Die Art und Weise, wie diese Überwachung inszeniert und ausgewertet wurde, zeigt, dass es offenbar in erster Linie um das Ausspionieren der Beschäftigten ging. Man muss bei der Lektüre der Berichte den Eindruck haben, dass die Mitarbeiterbespitzelung im Vordergrund stand.
Ist dies der extremste Fall von Mitarbeiterüberwachung den Sie kennen?
In dieser Systematik, in dieser Breite und in diesem Ton: ja.

In den "Schwarzbüchern Lidl", die Verdi herausgegeben hat, wurde vor einigen Jahren schon mal über schlimme Arbeitsbedingungen bei Lidl berichtet. Hat sich die Situation der Lidl-Mitarbeiter seitdem verbessert?
Unser Eindruck war schon, dass bestimmte Missstände bei Lidl abgestellt wurden. Lidl hat z.B. Überstunden bezahlt. Aber die jetzigen Veröffentlichungen über die Bespitzelung zeigt, dass Verbesserungen nicht flächendeckend gibt und offensichtlich nur dort, wo es von außen sichtbar ist.

Was fordern Sie nun von Lidl?
Wenn die Unternehmensführung im stern behauptet, diese Überwachung sei nicht ihr Stil, diese Methoden seien Ausreißer und so nicht gewollt, dann ist es ein leichtes, den Beweis dafür anzutreten: Wir fordern, dass die Mitarbeiter ohne Druck und Androhungen Betriebesräte gründen können. Lidl soll deshalb mit uns einen Tarifvertrag abschließen über die Gründung von Betriebsräten. Solange dies nicht passiert, und Beschäftigte Angst haben, dass sie entlassen werden, wen sie Betriebsräte gründen, passt es ins bild eines Unternehmens, das auf Kosten der Beschäftigten billige Preise macht. Unsere Forderung an Lidl: Beweist, dass ihr es ernst meint.
Glauben Sie, dass die oberste Lidl-Unternehmensleitung in Neckarsulm von dieser Bespitzelung wusste?
Der Lidl-Vorstand wusste mit Sicherheit Bescheid. Ich kann mir nicht vorstellen, dass eine Lidl-Bereichsleitung solche kriminellen Machenschaften durchführen kann, ohne dass dies nicht zumindest von der Zentrale gebilligt wird oder die zuständige Bereichsleitung sogar dafür belobigt wird. Ich glaube einem so straff geführten Unternehmen nicht, das dieser Skandal auf einen Ausreißer einzelner Regionalbereiche zurückzuführen ist. Denn das ist der Stil dieser Unternehmensleitung: Wer Angst hat vor der Gründung von Betriebsräten fürchtet, bei bestimmten Machenschaften nicht frei schalten und walten zu können. Dazu passt eine solche Bespitzelung.
Was raten Sie den von der Bespitzelung betroffenen Lidl-Angestellten?
Sofern sie Gewerkschaftsmitglieder sind, können sie von uns Rechtsschutz bekommen und Lidl auf Schadensersatz verklagen.

Was können Betroffene tun, die keine Gewerkschaftsmitglieder sind. Können die nachträglich bei verdi eintreten und wegen dieser Vorgänge klagen?
Nein, das verbietet das Rechtsschutzberatungsgesetz.
Aber werden Sie Nicht-Verdi-Mitgliedern, die klagen wollen, dabei unterstützen?
Ein generelles Angebot würde mich in Konflikt mit dem genannten Gesetz bringen. Ich kann aber den betroffenen Lidl-Mitarbeitern raten, sich untereinander zu verabreden und gemeinsam zu verdi zu kommen. Möglicherweise könnte man dann Musterklagen gegen Lidl anstrengen.
Was muss geschehen, dass solche Maßnahmen in Zukunft unterbleiben? Der Bundesdatenschutzbeauftragte Scharr fordert ein Arbeitnehmer-Datenschutzgesetz.
Das fordern wir seit langem. Aber das ist nach hinten auf der politischen Tagesordnung gerutscht. Ich höre von etlichen Kolleginnen und Kollegen,, dass die Mitarbeiterüberwachung in vielen Unternehmen und Bereichen der Wirtschaft ein Thema ist. Hier ist also dringender Handlungsbedarf gegeben, die schuldigen Unternehmen müssen harte Sanktionen fürchten.

Ist Lidl ein Ausnahmefall oder ist der gesamte Discounterbereich angestelltenfeindlich?
Wir wissen, dass im Discounterbereich mit Haken und Ösen und harten Bandagen gekämpft wird. Mitarbeiter werden unter Tarif bezahlt oder mit befristeten Verträgen ausgebeutet. Billige Preise haben eben ihren Preis - und den zahlen die Beschäftigten. Die großen Discounter müssen durch öffentlichen Druck dazu gebracht werden, ihr Verhalten zu ändern damit sie sich nicht mehr durch Ausbeutung und Bespitzelung ein Wettbewerbsvorteil verschaffen. Das gute Geschäft müssen die Besseren machen, und nicht diejenigen, die sich am miesesten ihren Mitarbeitern gegenüber verhalten.
Interview: Markus Grill und Malte Arnsperger (Quelle:stern.de)

Mittwoch, März 26, 2008

Geheimdienste haben Zugriff auf gespeicherte Kommunikationsdaten

Die Behörden haben durch das Urteil des Bundesverfassungsgerichts ungezählte Möglichkeiten, sich auf "Gefahren" zu berufen, um an die Verbindungsdaten zu kommen

Es ist soweit. Alle Verbindungsdaten werden gespeichert. Wer telefoniert mit wem, von welchem Ort, wie lange. Wer mailt wem, von welchem Computer aus. Sechs Monate lang sollen die Telekommunikationsanbieter diese Informationen bereithalten. Das hat das Bundesverfassungsgericht in Karlsruhe jetzt bestätigt. Ermittler dürfen auf diese Daten nur zugreifen, um eine schwere Straftat zu verfolgen. Oder um eine Gefahr für die öffentliche Sicherheit abzuwenden. Andererseits dürfen auch die Nachrichtendienste mit den Daten arbeiten.

Kaum war der Richterspruch gefallen, jubelten alle: Sowohl die Datenschützer, die die Vorratsdatenspeicherung kritisieren, als auch Bundesinnenminister Wolfgang Schäuble, der die Vorratsdatenspeicherung will. "Das sollte uns zu denken geben", findet der ehemalige Vorsitzende Richter am Verwaltungsgericht Hannover Helmut Weidemann. Es sei unlogisch, wenn sowohl Kritiker als auch Befürworter applaudieren. "Das aber scheint bislang kaum jemandem aufgefallen zu sein", meint der pensionierte Richter.

Tatsächlich wiegt der Richterspruch die Menschen in falscher Sicherheit. Es klingt beruhigend, wenn die Daten nur abgerufen werden dürfen, um schwere Straftaten zu verfolgen. Ist es aber nicht. Die landläufige Auffassung von "schweren Straftaten" ist, dass sich dabei um Mord und Totschlag handele. Ein Irrtum. Zu den schweren Straftaten zählen auch Delikte wie Betrug, Computerbetrug, Bankrott, Bestechlichkeit und Bestechung sowie Steuerhinterziehung. Das erweitert den Kreis der möglichen Betroffenen erheblich.
Auch ein Delikt wie Schleusung fällt unter die juristische Definition schwerer Straftaten. Helmut Weidemann gibt zu bedenken: "Wer gelesen hat, dass in letzter Zeit immer wieder Taxifahrer wegen Schleusung verurteilt werden, weil sie sich von ihren Fahrgästen die Personalausweise nicht haben zeigen lassen, kommt hoffentlich ins Grübeln. Wer weiß, dass auch die kleinen Reisebüros, die nicht kontrollieren, was ihre Kunden so machen, unter dem Verdacht der Schleusung stehen, müsste bereits Kopfschmerz empfinden."
Die "Abwehr von Gefahren für die öffentliche Sicherheit" ist ebenfalls ein weites Feld. Ein Fußballspiel zum Beispiel reicht aus, um die Reisebewegungen der Fans zu untersuchen. Politische Großveranstaltungen wie der G8-Gipfel liefern erst recht einen Vorwand, die Besucher unter die Lupe zu nehmen - gleichgültig, ob sie ihr Bürgerrecht zu demonstrieren nutzen wollen oder nicht.
Kurzum: Die Behörden haben ungezählte Möglichkeiten, sich auf "Gefahren" zu berufen, um an unsere Daten zu kommen. Jeder von uns kann unschuldig ins Fadenkreuz staatlicher Verdächtigung und Überwachung geraten.
Der Karlsruher Richterspruch bestätigt darüber hinaus: Geheimdienste dürfen die Daten abrufen, um ihre Aufgaben zu erfüllen. Der normale Bürger mag sich denken, er sei kein James Bond und habe deshalb mit den Nachrichtendiensten nichts zu tun. Auch das ist ein fataler Irrtum. Einer der Aufgaben der Dienste ist es, Schleusung zu bekämpfen. "Also kümmern sie sich auch um Taxifahrer und kleine Reisebüros", merkt Helmut Weidemann an. Der 69-Jährige urteilte in zahlreichen polizeirechtlichen Rechtsstreitigkeiten sowie über diverse Verfassungsschutzverfahren.
Doch damit nicht genug. Der Bundesnachrichtendienst (BND) wirbt in seiner Selbstbeschreibung damit, dass er ein "Frühwarnsystem" sei. Früh warnen kann aber nur, wer schon im Vorfeld ermittelt, also präventiv, unabhängig von jedem Verdacht.
Helmut Weidemann urteilt aus seiner beruflichen Praxis: "Der BND wird also die Telefon- und Internet-Daten in einem viel breiteren Rahmen abrufen und auswerten, als das vielen zunächst aufgefallen ist. Gleiches gilt für den Verfassungsschutz." Kein Wunder, dass sich Bundesinnenminister Schäuble über das Karlsruher Urteil so freut. Er weiß, wie seine Behörden arbeiten. Wollten Ermittler eine richterliche Genehmigung, eine Wohnung zu durchsuchen, hätten sie diese bisher relativ leicht bekommen, erzählt Weidemann. Bei den Telefon- und Internet-Daten werde es nicht anders sein.
Die staatliche Datensammelwut ist damit jedoch noch lange nicht befriedigt. Ein Beispiel: die Fluggastdaten, die neuerdings generell - und nicht nur für Flüge in die USA - erhoben werden. EU-Justizkommissar Franco Frattini hat angekündigt, dass dies nur der erste Schritt sei. "In der nächsten Stufe müssen wir uns um die Züge kümmern", sagte er. Der Computerkonzern IBM hat bereits eine Technik angeboten, mit der sich Zugpassagiere überwachen lassen. Es fehlt nur noch das entsprechende Gesetz. Aber das wird kommen.
Wenn die Telefon- und Internetprovider verpflichtet sind, bestimmte Verkehrs- und Standortdaten, die bei der Nutzung von Telefon, Handy, E-Mail und Internet anfallen, für einen Zeitraum von sechs Monaten zu speichern, so werden alle diese Daten Objekt der Begehrlichkeit bleiben. Sind solche Daten erst einmal erfasst, dann werden sie auch früher oder später genutzt werden.

Bislang haben wir immer nur über staatliche Ermittler uns Sorgen gemacht. Aber: All diese sensiblen Daten befinden sich zunächst in den Händen von Privatfirmen. Jeder von uns hat bestimmt schon so seine Erfahrungen mit deren call center gemacht. Wer dort arbeitet, verdient oft nicht mehr als fünf Euro. Und soviel Lebenserfahrung sollte jeder haben, um sich vorzustellen, was es heißt, ausgerechnet die sensibelsten Daten in die Hände von Menschen zu geben, die nur das Existenzminimum verdienen.

Labels:

Drogenkurier - Junge Deutsche bleibt in türkischer Haft

Die 20-jährige Sabrina A. und ihr kleiner Sohn Jason müssen vorerst in einem türkischen Gefängnis bleiben. Das entschied ein Schwurgericht im westtürkischen Izmir entschied zum Auftakt des Rauschgiftprozesses, der im Mai fortgesetzt werden soll. Die junge Deutsche beteuert weiter ihre Unschuld.
Die in der Türkei wegen versuchten Drogenschmuggels und Bandenkriminalität angeklagte Deutsche Sabrina A. bleibt in Untersuchungshaft. Der Richter in der westtürkischen Stadt Izmir lehnte zum Prozessauftakt am Dienstag eine Freilassung der Duisburgerin gegen Auflagen ab. Er forderte aber über Interpol einen Strafregisterauszug an, um bei der Fortsetzung des Verfahrens am 21. Mai über eine mögliche Freilassung entscheiden zu können. Sabrina A. bestreitet alle Vorwürfe. Die Deutsche hatte vor einem Monat in der Untersuchungshaft einen Jungen zur Welt gebracht.
Die Deutsche war im Juli 2007 auf dem Weg zum Flughafen in Antalya zusammen einem türkischen Hauptverdächtigen und einem Taxifahrer festgenommen worden. Polizisten fanden in einem Koffer in dem Taxi fünf Kilogramm Heroin. Während der Hauptverdächtige Nihat E. weiter in Haft bleibt, wurde der Taxifahrer, der sie zum Flughafen gebracht hatte, am Dienstag auf freien Fuß gesetzt.
Sabrina bestritt zu Beginn des Verfahrens die Anklagepunkte. Sie habe nicht gewusst, dass sich in einem Koffer, den sie mit nach Deutschland nehmen wollte, Heroin befunden habe. Das Gepäckstück habe sie aus Hilfsbereitschaft für einen Türken mitnehmen wollen, den sie erst im Hotel kennengelernt habe. Sie habe kein Geld dafür erhalten. Die Reise in die Türkei habe ihr getrennt lebender Ehemann organisiert. Der Anwalt der Frau beurteilte die Chancen, dass seine Mandantin nach Prozessende nach Deutschland ausgeliefert werden könnte, als sehr gut.
Die Angeklagte hatte vor einem Monat ein Baby bekommen. Nach Angaben des Anwalts kann sie das Kind jeden Tag sehen. Die Haftbedingungen für seine Mandantin seien am Anfang mit 30 Menschen in einer Großraumzelle sehr schwierig gewesen. Nachdem sie entbunden habe, sei die Situation aber besser geworden.
Der Ausgang des Prozesses hängt nach Einschätzung des Anwalts sehr vom Aussageverhalten der Mitangeklagten ab. Auch ihr Freund könne als Entlastungszeuge aussagen. Er befinde sich zur Zeit in Deutschland, warte aber auf freies Geleit.
Der Rechtsanwalt kritisierte, dass nie die Frage geklärt worden sei, woher das Rauschgift kam und wo es in Deutschland hingehen sollte. „Denn wenn in Deutschland 20 Kilo Heroin erwartet werden, dann ist das kein Pappenstiel“, sagte er. „Wenn Sabrina sagt „Ich bin unschuldig“, dann hätte man der Spur in Deutschland ja nur weiter nachgehen müssen. Dann hätte man sicher herausbekommen, was sie damit zu tun hat.“ Letzten Endes sei das wohl ein Problem der Zusammenarbeit der Behörden. (Quelle:Welt-Online.de)

Labels:

"freigegeben ab..."

Wie verläuft die Vergabe von Alterskennzeichen bei der Unterhaltungssoftware Selbstkontrolle e.V. (USK) in Berlin

Allgemeines
Mit Inkrafttreten des neuen Jugendschutzgesetzes (JuSchG) zum 1. April 2003 wurde die Alterskennzeichnung von Computerspielen gesetzlich festgelegt. Ein Anbieter, der sein Produkt der Öffentlichkeit zugänglich machen will, z.B. über den Handel, muss eine Alterskennzeichnung beantragen. Diese schafft neben der verbindlichen Alterseinstufung auch eine gewisse Rechtssicherheit. So lassen sich beispielsweise Spiele, die gekennzeichnet sind, nachträglich nicht mehr indizieren.

Bundesweit verantwortlich für diese Alterskennzeichnung zeichnen sich die Bundesländer, in deren Auftrag die Unterhaltungssoftware Selbstkontrolle (USK) mit Sitz in Berlin als gutachterliche Stelle fungiert. Dementsprechend entsenden die Länder einen Vertreter der obersten Landesjugendbehörden in den Gutachterausschuss. Ebenso verpflichtet sich jedes Bundesland, mehrere Gutachter zu benennen, von denen jeder an acht bis zehn Prüfterminen pro Jahr teilnimmt und die vom Beirat der USK bestätigt werden. Bayern stellt derzeit drei Gutachter. Insgesamt steht damit ein Pool von 56 Gutachterinnen / Gutachtern mit unterschiedlichsten Professionen vom Sozialarbeiter über den Jugendschutzreferenten hin zum Hochschullehrer zur Verfügung. Daraus resultiert ein für jeden Prüftag neu zusammengesetztes vierköpfiges Gutachterteam, ergänzt durch den Ständigen Vertreter der obersten Landesjugendbehörden (OLJB). Der Vorteil dieser Konstellation liegt darin, dass sich das Gutachtergremium immer unterschiedlich zusammensetzt, wodurch die Unabhängigkeit gewahrt bleibt.

Verantwortlich für die Präsentation der Spiele sind vier ehrenamtlich, gegen Aufwandsentschädigung tätige Tester, denen ein hauptamtlicher Leiter der Testabteilung vorsteht.

Ablauf


Der Antragsteller schickt seine gemäß den Grundsätzen und Prüfordnung der USK prüfbare Version mit allen Unterlagen und dem konkreten Prüfantrag an die USK. Das Spiel wird zunächst auf seine technische Lauffähigkeit und die Vollständigkeit der geforderten Prüfunterlagen wie Handbuch, Lösungshilfen und auch Cover geprüft. Handelt es sich um ein Spiel mit hoher Komplexität und vermuteter Jugendschutzrelevanz, wird dieses den versierten Testern zum Testen zugewiesen. Anhand der zur Verfügung gestellten Lösungshilfen muss das Spiel vollständig gespielt, Spielstände gespeichert, ein das Spiel beschreibender Text verfasst und zum schnellstmöglichen Zeitpunkt vor einem Gutachtergremium und dem Ständigen Vertreter der Obersten Landesjugendbehörden (OLJB) präsentiert werden.

Das Modell der Vorbereitung eines Spiels für die Präsentation sieht ein komplettes Durchspielen vor, dessen Regeln in einem internen Qualitätsbuch für Tester festgelegt sind. Dabei besteht das Training darin, die eigene Spielerfahrung des gesamten Spiels so auf- und vorzubereiten, dass ein kompletter Überblick gegeben werden kann, einschließlich der Vermittlung der gesamten Spielatmosphäre.

Vor der Präsentation im Prüfgremium werden alle Spiele fristgerecht gesichtet. Spiele der Genres Adventure, Rollenspiele, Strategie, Shooter, bestimmte Arcade-Games und Genremix sowie in einigen Fällen auch Jump´n Runs und Management-Spiele sind auf jeden Fall zu sichten. Im Gremium ist dies alles vorzuspielen.


Die Professionalität besteht darin, dass die unter dem Jugendschutzaspekt relevanten und die für das Gesamtverständnis des Spiels notwendigen Szenen beurteilt und gewichtet werden können. Die USK-Gutachtenden erkennen, was genau denn das Spiel wirklich ausmacht, schließlich spielen sie ja auch selbst.

Verständlicherweise ist es während der Präsentation bei den meisten Spielen aus zeitlichen Gründen nicht möglich, ein komplettes Spiel vom ersten bis zum letzten Level durchzuspielen. Dies könnte pro Spiel unter Umständen mehrere Tage in Anspruch nehmen. Lediglich die Tester spielen ein solches Spiel von Anfang bis Ende mit allen Optionen, um das komplette Spiel zu kennen und in seinem gesamten Angebot zu verstehen. Deshalb ist Voraussetzung des Testers, über viel Spielerfahrung zu verfügen, um mit allen Genres und Plattformen zurechtzukommen. Während er dem Gremium das Spiel vorspielt, informiert er über die relevanten Inhalte. Er versucht bei Nachfragen die Spielaktion zu wiederholen oder noch weiter Aktionen zu verfolgen und muss in der Lage sein, die ungewöhnlichsten Fragen und Aufforderungen durch die Gutachtenden zu beantworten. Selbstverständlich können auch die Gutachter in das Spiel einsteigen und Spielzüge ausprobieren. Die Sachverständigen diskutieren und tauschen ihren Eindruck mit dem des Testers auf Grund seiner Spielerfahrungen aus. Dabei soll er auch in der Lage sein zu widersprechen, wenn er merkt, dass die Substanz des Spiels falsch verstanden wird. Er selbst gibt aber keine Altersempfehlungen ab.

Ziel des Dialoges zwischen Testern und dem plural zusammengesetztem Prüfgremium ist, das Gesamtkonzept des Spiels artikulieren zu können. Im Gremium muss der Tester die Gewissheit vermitteln, alle relevanten Inhalte gesehen zu haben, um Wirkungsrisiken für eine Altersgruppe abzuwägen, auf deren Grundlage die Gutachtenden eine mehrheitliche Entscheidung treffen können. Dadurch erhält das Gutachtergremium einen dezidierten Einblick in die Inhalte des Mediums.

Für Spiele mit einem Antrag auf Kennzeichnung "ohne Altersbeschränkung" bzw. "ab sechs Jahren" genügt das vereinfachte Verfahren innerhalb des Regelverfahrens, an dem drei Gutachter teilnehmen, die eine einstimmige Entscheidung treffen müssen (können Sie sich nicht einigen, geht das Spiel in das 5er Gremium). Spiele mit Antrag auf eine höhere Alterskennzeichnung werden im 5er Gremium des Regelverfahrens begutachtet; entschieden wird hier mit einfacher Mehrheit.

Im Anschluss an das Vorspielen werden die relevanten Punkte des Spieles vor dem Hintergrund des Kinder- und Jugendschutzes hinsichtlich sowohl der Inhalte als auch der grafischen Darstellung bzw. akustischen Wiedergabe erörtert. Den Gutachtenden steht ein auf Grundlagen der Wirkungsforschung und der sich entwickelnden Spruchpraxis der USK unter Beachtung gesetzlicher Vorschriften aufgestellter und ständig sich weiter entwickelnder Kriterienkatalog als Orientierungshilfe zur Verfügung, anhand dessen die einzelnen Aspekte des Spiels geprüft werden. Eine wichtige Rolle spielt hierbei die Frage nach einer möglichen Entwicklungsbeeinträchtigung Minderjähriger. Aufgrund der vielfältigen Professionen unserer Gutachter lässt sich das Medium aus verschiedenen Blickwinkeln ausführlich diskutieren. Im Mittelpunkt der Betrachtung steht dabei immer die Wirkung des Spiels auf eine bestimmte Altersgruppe. So kann beispielsweise ein Spiel für einen Zwölfjährigen unbedenklich sein, jedoch gefährdungsgeneigte Kinder dieser Altersgruppe möglicherweise noch beeinträchtigen, weshalb das Spiel erst ab 16 Jahren freigegeben wird.

Jedes Spiel wird auch darauf geprüft, ob die Indizierungsgründe der Bundesprüfstelle für jugendgefährdende Medien (BPjM) vorliegen oder ausgeschlossen werden können. Hierzu sind die Kriterien der BPjM für eine Jugendgefährdung heranzuziehen. Dabei wird jedes einzelne Kriterium im Zusammenhang mit dem Spiel ausführlich erörtert. Wird die Kennzeichnung eines Spieles verweigert, kann das Spiel später durch die BPjM indiziert werden. Andererseits schließt – wie oben bereits genannt – die Kennzeichnung des Spiels (auch die Kennzeichnung mit "keine Jugendfreigabe") eine Indizierung durch die BPjM aus. Deshalb müssen die Gutachter hier sehr verantwortungsbewusst die einzelnen Kriterien für oder gegen eine Kennzeichnung abwägen. Schließlich beeinflusst diese Entscheidung den weiteren Verbreitungsmarkt des betreffenden Mediums nicht unerheblich. Insgesamt wurde seit 1.4.2003 in 149 USK-Verfahren das Kennzeichen verweigert.

Die Gutachter stimmen nach ausreichender Diskussion über eine Alterskennzeichnung ab und empfehlen diese dem Ständigen Vertreter. Der Ständige Vertreter der OLJB nimmt die Empfehlung des Gutachtergremiums entweder an oder er legt sein Veto dagegen ein. Von seinem Vetorecht kann er bei jeder Empfehlung Gebrauch machen. Selbstverständlich besteht auch für den Antragsteller die Möglichkeit, Berufung gegen eine Entscheidung einzulegen. Sowohl der Ständige Vertreter als auch der Hersteller können von je zwei Instanzen der Berufung Gebrauch machen (Berufungsausschuss, Beiratsprüfung). Für die Bundesländer besteht die Möglichkeit der Appellation. In allen diesen Fällen prüft ein neu besetzter Gutachterausschuss nochmals das Spiel.

Nach erfolgter Begutachtung erstellen die Gutachter zeitnah innerhalb von zehn Tagen ein ausführliches Gutachten, das neben einer Beschreibung des Spiels die genaue Begründung für die entsprechende Altersfreigabe enthält.

Natürlich müssen sich auch Gutachter weiterbilden. Hierfür bietet die USK mehrmals jährlich Fortbildungen zu bestimmten Fachthemen mit entsprechenden Referenten an.

(Quelle:Heise.de)

Labels:

"Nimm keine Drogen!" per SMS

Umwelt beeinflusst unsere Gesundheit. Und natürlich auch jene von Teenagern. Das git auch für "Umwelt" im weitesten Sinne - also für überall dort, wo sie sich aufhalten: Daheim, in der Schule und irgendwo dazwischen. Genau diesem Dazwischen hat sich jetzt eine Forschergruppe der Indiana University School of Medicine gewidmet – und 160 Mädchen zwischen 14 und 16 Jahren über die GPS-Ortung ihrer Handys verfolgt.
Die wenig überraschende Erkenntnis: Das geht! "Wir wussten nicht, ob die Kinder ihre Handys dabei haben würden oder sie daheim ließen. Aber sie hatten sie dabei", so Dr. Sarah Wiehe, Assistant Professor an der Indiana University. Mit den GPS-Daten, die belegen, dass die Jugendlichen "mehr Zeit als angenommen" außerhalb von Schule und ihrem Zuhause verbringen, will man jetzt untersuchen, welche Umweltfaktoren zum Beispiel Drogenkonsum begünstigen. Die Mädchen einfach über ihre Gewohnheiten zu befragen, wäre selbstverständlich keine Alternative zur Geheimdienst-Methode der GPS-Ortung gewesen. "Everybody lies", weiß auch Dr. Gregory House, die Daten wären also nutzlos. Immerhin, ein pädagogischer Effekt ist laut Dr. Wiehe abzusehen: "Ich hoffe, unsere Studien führen zum Einschreiten, vielleicht in Form von Textnachrichten, die die Jugendlichen zu gesundem Verhalten ermuntern!"

Labels:

SECURITY -Firefox-Update schließt kritische Sicherheitslücken

Das Mozilla-Projekt liefert die Version 2.0.0.13 des populären, quelloffenen Webbrowsers Firefox aus. Sie behebt einige kritische Schwachstellen, durch die Angreifer Schadcode einschleusen oder etwa Seiteninhalte fälschen können.
Mehrere Scherheitslücken betreffen JavaScript. Angreifer können aufgrund fehlerhafter Verarbeitung fremden Code mit maximalen Rechten im Browser ausführen, aber auch Cross-Site-Scripting wird dadurch ermöglicht (MFSA-2008-14 und MFSA-2008-15). Die Fehlermeldung MSFA-2008-18 beschreibt eine Schwachstelle, durch die Java-Applets auf alle Ports des lokalen Rechners zugreifen können – Sun hat der Sicherheitsmeldung der Mozilla-Entwickler zufolge einen Bugfix in den aktuellen Java-Runtimes integriert, aber auch die Programmierer von Mozilla haben in der neuen Version Gegenmaßnahmen eingeführt.
Ein weiteres Sicherheitsleck ermöglicht Angreifern, mit präparierten Webseiten ein rahmenloses Pop-up-Fenster aus einem Tab im Hintergrund heraus zu fälschen und vor den aktiven Tab des Anwenders zu legen. Damit könnten sie Formularbestandteile fälschen und beispielsweise Login-Daten zu Webseiten abphishen, außerdem Angreifer den Schutz einiger Webseiten vor einer sogenannten Cross-Site Request Forgery (CSRF) aushebeln, wenn der serverseitige Schutz lediglich auf einer Referrer-Prüfung basiert, da sich die HTTP Referrer fälschen ließen (MSFA-2008-16). Zudem könnten die Mozilla-Browser aufgrund einer weiteren Schwachstelle persönliche Daten eines Anwenders preisgeben, wenn der Anwender bereits ein persönliches Zertifikat besitzt, das der Browser automatisch bei jeder SSL-Client-Authentifizierung vorzeigt – nach dem Update fragt der Browser laut Fehlerbericht MFSA-2008-17 jetzt vor der Übertragung beim Anwender nach, wenn eine Webseite ein Client-Zertifikat anfordert.

Die meisten Sicherheitslücken betreffen auch das Mailprogramm Thunderbird und die Browser-Suite Seamonkey. In den Sicherheitsmeldungen verweisen die Mzilla-Entwickler auf die Versionen Thunderbird 2.0.0.13 und Seamonkey 1.1.9, die die Fehler beseitigen sollen; diese Updates werden aber noch nicht automatisch ausgeliefert. Firefox-Nutzer sollten das Update umgehend einspielen, da sich durch die Lücken mit manipulierten Webseiten etwa ein Trojaner einschleusen lässt. (Quelle:heise.de)

Siehe dazu auch:

Labels:

Dienstag, März 25, 2008

Cannabis-Züchter wurde hart bestraft

Cannabis-Züchter wurde hart bestraft

Seit geraumer Zeit geraten "Homegrower" immer häufiger in das Visier der Polizei. Die großflächig angelegte Razzia Ende Januar, bei der mehr als 200 Beschuldigte mit Hausdurchsuchungen bedacht wurden, ist nicht als Endpunkt der Aktion anzusehen. Das LKA hatte zuvor die Kundendaten eines Aachener Grow-Shops ausgewertet, um die Identität von Käufern "auffälliger" Produkte festzustellen. Jetzt werden die ersten Verurteilungen von Personen, die zum eigenen Bedarf anbauen, bekannt.
Das Grüne Hilfe Netzwerk e. V. berichtete von einer ersten Verurteilung in Albstadt. Der Angeklagte hatte ebenfalls Produkte im Aachener Head-Shop "Catweazel" bestellt, die ihm per Post zugeschickt wurden. Aufgrund von acht Cannabis-Pflanzen in einer Höhe von 20 cm wurde er nun zu 3.000 Euro (125 Tagessätze á 24 Euro) verurteilt. Beim bloßen Besitz von Cannabis für den Eigenkonsum existiert dank des Bundesverfassungsgerichts (BVerfG) längst eine so genannte "Geringe Menge", die nicht weiter straffrechtlich verfolgt wird. Doch die gängige Praxis der "geringen Menge" greift beim Eigenanbau nicht - schon wenige Blüten übersteigen diese Grenze.
Über seinen Anwalt Christian Niederhöfer aus Tübingen hatte der Betroffene Akteneinsicht angefordert, doch das Urteil des Amtsgericht Albstadt erging, noch ehe die angeforderten Akten eintrafen. RA Christian Niederhöfer hat im Namen des Verurteilten Widerspruch eingelegt. Das Grüne Hilfe Netzwerk ruft zur Teilnahme an einer Protestmail an Frau Zypries auf. Mit der Androhung und Vollstreckung solch harten Strafen wird der Anbau und Besitz geringer Mengen kriminalisiert. Die Konsumenten werden sich zur Beschaffung ihres Eigenbedarfs künftig vermehrt an den illegalen Schwarzmarkt wenden, um solchen Strafen zu entgehen. Der Verein befürchtet, dass sich Hanf-FreundInnen wieder vermehrt auf die unsauberen Bedingungen des Schwarzmarktes einlassen, anstatt sich zum Eigenbedarf sauberes Cannabis selbst zu züchten. Im Schwarzmarkt werden nicht selten gefährliche Streckmittel eingesetzt. Im Umkreis von Leipzig wurde dem Endprodukt beispielsweise bleivergiftetes Gras beigemischt.
Dazu kommt: Bei den 235 durchsuchten Wohn- und Geschäftsräumen wurden nur zwei "Profiplantagen" und neun "Großplantagen" mit 100 bis 1.000 Pflanzen entdeckt. 66 Durchsuchungen betrafen Kleinanbauer und bei 158 verblieb der Polizeieinsatz gänzlich ohne Ergebnis. Bei fast 95 Prozent der Durchsuchungsopfer handelte es sich also um kleine oder keine Fische. Wer sich am Versand der Protestmail an Bundesjustizministerin Brigitte Zypries (SPD) beteiligen will: Diese kann von der Website des DHV bequem verschickt werden.

Labels:

Geheimdienste haben Zugriff auf gespeicherte Kommunikationsdaten

Die Behörden haben durch das Urteil des Bundesverfassungsgerichts ungezählte Möglichkeiten, sich auf "Gefahren" zu berufen, um an die Verbindungsdaten zu kommen.


Es ist soweit. Alle Verbindungsdaten werden gespeichert. Wer telefoniert mit wem, von welchem Ort, wie lange. Wer mailt wem, von welchem Computer aus. Sechs Monate lang sollen die Telekommunikationsanbieter diese Informationen bereithalten. Das hat das Bundesverfassungsgericht in Karlsruhe jetzt bestätigt. Ermittler dürfen auf diese Daten nur zugreifen, um eine schwere Straftat zu verfolgen. Oder um eine Gefahr für die öffentliche Sicherheit abzuwenden. Andererseits dürfen auch die Nachrichtendienste mit den Daten arbeiten.

Kaum war der Richterspruch gefallen, jubelten alle: Sowohl die Datenschützer, die die Vorratsdatenspeicherung kritisieren, als auch Bundesinnenminister Wolfgang Schäuble, der die Vorratsdatenspeicherung will. "Das sollte uns zu denken geben", findet der ehemalige Vorsitzende Richter am Verwaltungsgericht Hannover Helmut Weidemann. Es sei unlogisch, wenn sowohl Kritiker als auch Befürworter applaudieren. "Das aber scheint bislang kaum jemandem aufgefallen zu sein", meint der pensionierte Richter.Tatsächlich wiegt der Richterspruch die Menschen in falscher Sicherheit. Es klingt beruhigend, wenn die Daten nur abgerufen werden dürfen, um schwere Straftaten zu verfolgen. Ist es aber nicht. Die landläufige Auffassung von "schweren Straftaten" ist, dass sich dabei um Mord und Totschlag handele. Ein Irrtum. Zu den schweren Straftaten zählen auch Delikte wie Betrug, Computerbetrug, Bankrott, Bestechlichkeit und Bestechung sowie Steuerhinterziehung. Das erweitert den Kreis der möglichen Betroffenen erheblich.
Auch ein Delikt wie Schleusung fällt unter die juristische Definition schwerer Straftaten. Helmut Weidemann gibt zu bedenken: "Wer gelesen hat, dass in letzter Zeit immer wieder Taxifahrer wegen Schleusung verurteilt werden, weil sie sich von ihren Fahrgästen die Personalausweise nicht haben zeigen lassen, kommt hoffentlich ins Grübeln. Wer weiß, dass auch die kleinen Reisebüros, die nicht kontrollieren, was ihre Kunden so machen, unter dem Verdacht der Schleusung stehen, müsste bereits Kopfschmerz empfinden."
Die "Abwehr von Gefahren für die öffentliche Sicherheit" ist ebenfalls ein weites Feld. Ein Fußballspiel zum Beispiel reicht aus, um die Reisebewegungen der Fans zu untersuchen. Politische Großveranstaltungen wie der G8-Gipfel liefern erst recht einen Vorwand, die Besucher unter die Lupe zu nehmen - gleichgültig, ob sie ihr Bürgerrecht zu demonstrieren nutzen wollen oder nicht.Kurzum: Die Behörden haben ungezählte Möglichkeiten, sich auf "Gefahren" zu berufen, um an unsere Daten zu kommen. Jeder von uns kann unschuldig ins Fadenkreuz staatlicher Verdächtigung und Überwachung geraten.
Der Karlsruher Richterspruch bestätigt darüber hinaus: Geheimdienste dürfen die Daten abrufen, um ihre Aufgaben zu erfüllen. Der normale Bürger mag sich denken, er sei kein James Bond und habe deshalb mit den Nachrichtendiensten nichts zu tun. Auch das ist ein fataler Irrtum. Einer der Aufgaben der Dienste ist es, Schleusung zu bekämpfen. "Also kümmern sie sich auch um Taxifahrer und kleine Reisebüros", merkt Helmut Weidemann an. Der 69-Jährige urteilte in zahlreichen polizeirechtlichen Rechtsstreitigkeiten sowie über diverse Verfassungsschutzverfahren.
Doch damit nicht genug. Der Bundesnachrichtendienst (BND) wirbt in seiner Selbstbeschreibung damit, dass er ein "Frühwarnsystem" sei. Früh warnen kann aber nur, wer schon im Vorfeld ermittelt, also präventiv, unabhängig von jedem Verdacht.
Helmut Weidemann urteilt aus seiner beruflichen Praxis: "Der BND wird also die Telefon- und Internet-Daten in einem viel breiteren Rahmen abrufen und auswerten, als das vielen zunächst aufgefallen ist. Gleiches gilt für den Verfassungsschutz." Kein Wunder, dass sich Bundesinnenminister Schäuble über das Karlsruher Urteil so freut. Er weiß, wie seine Behörden arbeiten. Wollten Ermittler eine richterliche Genehmigung, eine Wohnung zu durchsuchen, hätten sie diese bisher relativ leicht bekommen, erzählt Weidemann. Bei den Telefon- und Internet-Daten werde es nicht anders sein.
Die staatliche Datensammelwut ist damit jedoch noch lange nicht befriedigt. Ein Beispiel: die Fluggastdaten, die neuerdings generell - und nicht nur für Flüge in die USA - erhoben werden. EU-Justizkommissar Franco Frattini hat angekündigt, dass dies nur der erste Schritt sei. "In der nächsten Stufe müssen wir uns um die Züge kümmern", sagte er. Der Computerkonzern IBM hat bereits eine Technik angeboten, mit der sich Zugpassagiere überwachen lassen. Es fehlt nur noch das entsprechende Gesetz. Aber das wird kommen.
Wenn die Telefon- und Internetprovider verpflichtet sind, bestimmte Verkehrs- und Standortdaten, die bei der Nutzung von Telefon, Handy, E-Mail und Internet anfallen, für einen Zeitraum von sechs Monaten zu speichern, so werden alle diese Daten Objekt der Begehrlichkeit bleiben. Sind solche Daten erst einmal erfasst, dann werden sie auch früher oder später genutzt werden.
Bislang haben wir immer nur über staatliche Ermittler uns Sorgen gemacht. Aber: All diese sensiblen Daten befinden sich zunächst in den Händen von Privatfirmen. Jeder von uns hat bestimmt schon so seine Erfahrungen mit deren call center gemacht. Wer dort arbeitet, verdient oft nicht mehr als fünf Euro. Und soviel Lebenserfahrung sollte jeder haben, um sich vorzustellen, was es heißt, ausgerechnet die sensibelsten Daten in die Hände von Menschen zu geben, die nur das Existenzminimum verdienen.

Labels:

SECURITY - CCC warnt vor unabsehbaren Risiken bei Einführung der eCard


Die zum 1. April 2008 geplante Einführung der elektronischen Gesundheitskarte (eCard) kann unter den gegebenen Umständen nach Ansicht des Chaos Computer Clubs nicht wie geplant stattfinden. Der CCC kritisiert, das technische Großabenteuer der Bundesregierung wird ohne eine funktionierende Sicherheitsinfrastruktur anlaufen. Damit legt das datenschutztechnisch fragwürdige und seit Jahren umstrittene Projekt offensichtlich einen erneuten Fehlstart hin.
Nachdem der ehemalige Geschäftsführer der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik), Dirk Drees, im Dezember 2007 aufgrund der vielen technischen Probleme das Handtuch warf, übernahm nun Peter Bonerz die Führung über das immer wieder verzögerte Projekt.

Mehr als ein theoretisches Konzept für die Gesundheitskarte hat die gematik jedoch bisher nicht vorzuweisen. Peter Bonerz erklärte auf der Cebit, dass die geplante technische Infrastruktur noch nicht in Betrieb genommen werden kann, da die offizielle Ausschreibung der Public-Key-Infrastruktur (PKI) des zentralen Backbone-Server- Verbundes bislang immer noch nicht abgeschlossen ist. Diese Problematik zeigte im Hinblick auf den Einführungstermin der eCard bisher keinerlei Auswirkungen. Das angestrebte Projekt hat gigantische Ausmaße und birgt dabei jede Menge Sicherheitsrisiken: 80 Millionen Versicherte sollen mit der neuen Gesundheitskarte ausgestattet werden. 21.000 Apotheken, 123.000 niedergelassene Ärzte, 65.000 Zahnärzte, 2.200 Krankenhäuser sowie knapp 270 Krankenkassen werden über die neue Infrastruktur miteinander vernetzt.
"Was sich nach einem Aprilscherz anhört, meint die gematik tatsächlich ernst", sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling. "Es werden neue riesige Datenberge angehäuft, ohne dass das Sicherheitskonzept zum Zugriff auf die medizinischen Daten bisher erprobt wurde. Ein Feldtest des Kommunikationssystems konnte aufgrund der fehlenden Ausschreibung gar nicht erfolgen. Jede Softwareklitsche leistet da bessere Arbeit, obwohl diese nicht über ein Milliardenbudget verfügen".
In den bisherigen Feldtests gab es nach Angaben der gematik Probleme mit dem Zugriff auf die Karten sowie mit dem Einsatz des neuen elektronischen Rezeptes (eRezept), das als die Hauptanwendung der eCard beworben wird. Die ursprünglich vorgesehenen Feldtests mit 100.000 Karten wurden gleich ganz abgeblasen. Von der Öffentlichkeit fast unbemerkt wird zeitgleich mit der Gesundheitskarte jedem Bürger eine eindeutige Nummer (Patienten-ID) zugewiesen. Damit kann jeder Mensch und seine Krankengeschichte auch nach Jahren noch zurückverfolgt werden. Die Stammdaten aller Versicherten werden zentral und unverschlüsselt gespeichert sowie zur Authentifizierung genutzt. Zusätzlich wird auch die bislang freiwillige elektronische Patientenakte (ePA) zentral gespeichert, auch wenn die Bundesregierung immer wieder behauptet, dass die Kontrolle über die sensiblen Daten beim Versicherten bleibt. Aus der bisher vorliegenden technischen Dokumentation der Gesundheitskarte geht außerdem hervor, dass es später sogenannte Mehrwertdienste geben wird. Durch dieses fragwürdige Geschäftsmodell sollen in Zukunft die immensen Kosten der Einführung und des Betriebes der Infrastruktur refinanziert werden.
kommentierte CCC-Sprecher Dirk Engling. Auch die Antwort der Bundesregierung auf eine Kleine Anfrage der FDP zur elektronischen Gesundheitskarte brachte keine Klärung. Der CCC warnt vor der Einführung der elektronischen Gesundheitskarte, da notwendige Feldtests zur Evaluation aufgrund der Fehlplanung nicht wie vorgesehen durchgeführt werden, sondern die unkalkulierbaren Risiken und Nebenwirkungen des Experiments ab April von den Patienten und den Angehörigen der Heilberufe getragen werden. Der Schutz der Daten soll ohnehin zum großen Teil durch die Praxen und Kliniken gewährleistet werden, die jedoch überhaupt keinen zusätzlichen Nutzen durch die eCard haben werden. Im Gegenteil: Die Ärzte und Apotheker sind diejenigen, welche die Kosten des 4,5-Milliarden-Euro-Projektes vorschießen müssen. Ein medizinischer Nutzen der Gesundheitskarte wird seitens der Bundesregierung ohnehin nicht mehr behauptet. Warum also die Ausgaben in Milliardenhöhe für das Projekt ausgegeben werden sollen, wird weiterhin nicht begründet. Zahlreiche Ärzte haben zudem bereits im Herbst letzten Jahres gegen die Einführung der eCard protestiert. Sie sehen einen starken Nachbesserungsbedarf und kreiden an, die neue Karte diene nicht primär den Interessen des Bürgers, des kranken Menschen und der versorgenden Ärzte.
Der CCC hält ein PDF-Dokument zum Download bereit, welches die Kleine Anfrage der FDP im Bundestag zu technischen und rechtlichen Problemen bei der Einfuhrung der elektronischen Gesundheitskarte beinhaltet.

Labels:

Sony BMG will mit "Musikflatrate" Musikabsatz ankurbeln

"Ich erwarte, dass die Branche noch zwei bis drei Jahre schrumpft, sich dann stabilisiert und danach wieder wächst", gibt sich Rolf Schmidt-Holtz, Vorstandschef des Labels Sony BMG, in einem Interview mit der Frankfurter Allgemeinen Zeitung vorsichtig optimistisch. Auch das neue Jahr habe gut begonnen, der CD-Absatz falle jedoch mindestens genauso stark wie im vergangenen Jahr, meinte der Musikmanager.
Um die Umsätze anzukurbeln, habe man viele Ideen, erklärte Schmidt-Holz. So arbeite man an einem Abonnement-Angebot im digitalen Musikvertrieb: "In der einfachsten und vielleicht attraktivsten Variante wäre das eine Art Musikflatrate für alle Mp3-Spieler inklusive den iPod: Für einen monatlichen Beitrag steht Ihnen die gesamte Musikwelt offen. Mit der Musikflatrate bekommen Sie alles von uns – vom brandneuen Charthit bis zu Beethoven." Diese Musikflatrate für sechs bis acht Euro im Monat solle möglichst noch dieses Jahr angeboten werden. Dabei gilt aber wie bei vergleichbaren Abonnement-Angeboten wie etwa von Napster: Wenn das Abonnement endet, verliert der Kunde auch den Zugriff auf die Musiktitel. Als Zusatzoption hält Schmidt-Holtz aber auch ein "Download-to-own"-Angebot für möglich: "Es wäre aber sogar vorstellbar, dass die Kunden die Musik teilweise eben nicht nur anhören können, sondern auch einige Titel downloaden und damit besitzen."
Der Musikmanager sieht eine große Chance für die seit Jahren kriselnde Musikindustrie: "Unsere Marktforschung zeigt, dass eine große Zahl von Kunden ein solches Angebot attraktiv findet." Sein Unternehmen wolle bei dem Vorhaben mit den anderen großen Musikkonzernen kooperieren. Auch mit Apple, als Betreiber des iTunes Store Marktführer im Online-Musikvertrieb und dominierender Anbieter von portablen Medienplayern, würden Gespräche geführt. "Wir reden mit Apple, so wie wir mit vielen anderen Unternehmen auch reden", sagte Schmidt-Holtz. Dabei dürfte es nicht nur um andere Geschäftsmodelle im iTunes Store gehen, sondern auch um die Einzelpreise für Songs, die den Musikkonzernen schon lange zu niedrig sind: "Verglichen mit den Margen im CD-Geschäft, ist unsere digitale Gewinnspanne gut. Aber wir können trotzdem nicht glücklich mit den heutigen Preisen sein. Sie spiegeln den Wert der Musik nicht ausreichend wider."

Labels:

SECURITY - Word führt fremden Code aus

Die Jet Database Engine von Microsoft erlaubt es Angreifern, aus der Ferne eigenen Code über Word auszuführen (Remote Code Execution). Im Security Advisory 950627 erklärt Microsoft, dass der Benutzer dazu allerdings einige Schritte selbst ausführen muss, bevor der Angreifer Code ausführen kann. Dieser läuft dann allerdings mit den Rechten des angemeldeten Benutzers.

Derzeit prüfe man, wie die Lücke zu beheben sei und ob andere Programme betroffen sind, die auf Jet-Engine zurückgreifen. Ein mögliches Angriffsszenario besteht darin, dem Opfer eine manipulierte Word-Datei unterzuschieben.

Betroffen sind Benutzer, die mit:

  • Word 2000 Service Pack 3
  • Word 2002 Service Pack 3
  • Word 2003 Service Pack 2 oder 3
  • Word 2007 mit oder ohne Service Pack 1
unter Windows 2000, Windows XP, oder Windows Server 2003 SP1 arbeiten. Der Fehler ist erst ab Revision 4.0.9505.0 der MSJET40.DLL beseitigt. Diese Version ist in Windows Vista und Windows Server 2003 SP2 enthalten. Demnach ist die Jet Engine dieser Betriebssysteme gegen den Angriff immun. (Quelle:Heise.de)

Labels:

LG Hamburg: Usenet-Provider unterliegen gegen Google

Der Streit um die Haftung von Usenet-Providern für Urheberrechtsverletzungen ist um eine Facette reicher. Nachdem das Oberlandesgericht (OLG) Düsseldorf (Az: I-20 U 95/07) und das OLG München (Az. 29 U 3340/07) in der Vergangenheit eine Haftung der Anbieter für über sie begangene Urheberrechtsverletzungen ablehnten, bleibt das LG (Landgericht) Hamburg nicht nur seiner haftungsbejahenden Linie treu, sondern hält darüber hinaus sogar eine Haftung des unabhängigen Werbeanbieters für möglich, mit dem die Anbieter für ihren Usenet-Zugang werben.
Heise online liegen drei bisher unveröffentlichte Entscheidungen des LG Hamburg vor, in denen jeweils Usenet-Provider gegen Google unterlegen sind (LG Hamburg, Urteil vom 13.12.2007, Az. 315 O 553/07, Urteil vom 04.02.2008, Az. 315 O 870/07, sowie Urteil vom 06.03.2008, Az. 315 O 906/07). Nach längeren Auseinandersetzungen hatte Google die Provider EasyLoad, UseNeXT und Alphaload, die nach Auffassung des Suchmaschinenprimus recht offensichtlich mit Urheberrechtsverletzungen per AdWords warben, aus seinem Werbeprogramm ausgeschlossen. Die Usenet-Anbieter – darauf nach eigenen Angaben von empfindlichen Umsatzrückgängen getroffen – wollten nun Google gerichtlich zwingen, per AdWords wieder für ihre Dienste werben zu dürfen.
Einen solchen Anspruch verneinte das LG Hamburg in allen drei Fällen. Zwar waren die Verfahren prozessual unterschiedlich gelagert – EasyLoad und UseNeXT hatten bereits eine einstweilige Verfügung gegen Google erwirkt und stritten nun um die Aufhebung dieser; Alphaload hingegen begehrte überhaupt erst um den Erlass einer solchen Verfügung –, die rechtliche Fragestellung war jedoch in allen Verfahren gleich: Steht den Providern ein Anspruch gegen Google zu, per AdWords werben zu dürfen? Zwar darf jeder Teilnehmer am Wirtschaftsleben sich seine Vertragspartner frei aussuchen, diese sogenannte Privatautonomie stößt jedoch dann an ihre Grenzen, wenn ein Unternehmen "marktbeherrschend" im Sinne des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) ist. Ein solch dominantes Unternehmen darf andere Marktteilnehmer nicht diskriminieren oder seine Marktmacht sonst missbrauchen. Voraussetzung für einen Anspruch der Usenet-Provider war damit eine marktbeherrschende Stellung von Google im Bereich der Onlinewerbung. Doch diese für Google unangenehme Frage ließ das LG Hamburg ausdrücklich offen – selbst wenn Google marktbeherrschend sein sollte, hätte der Suchmaschinenprimus die abgelehnten Werbekunden nicht "unbillig behindert" oder "diskriminiert", so die Hamburger Richter.

Denn nach Auffassung des Gerichts habe Google "tatsächlich und rechtlich nachvollziehbar" befürchtet, als Werbeplattform selbst "mit in die Haftung genommen zu werden, wenn sie Werbung von solchen Providern ermöglicht". Damit bestätigte das Gericht nicht nur seine frühere Linie, wonach Usenet-Provider "als Störer für die widerrechtlichen Eingriffe Dritter in die urheberrechtlich geschützten Verwertungsrechte" haften würden. Darüber hinaus hält das Gericht nun also auch eine Haftung des Werbeanbieters zumindest für möglich. Egal, ob marktbeherrschend oder nicht – allein diese Befürchtung habe es Google erlaubt, die Usenet-Provider aus dem AdWords-Programm auszuschließen. Darüber hinaus bewertete das Gericht die Anzeigentexte ("anonym", "gratis") als "aggressiv". Wer so auftrete, bewerbe nach Auffassung der Hamburger Richter gerade die Möglichkeit von Urheberrechtsverstößen durch den Usenet-Zugang. Insoweit fürchte Google darüber hinaus auch zu Recht um seinen Ruf, solche Werbungen anzeigen zu müssen.

Labels:

P2P - Schlappe für "Piratenjäger" der proMedia GmbH

Mit einer herben Schlappe für die "Piratenjäger" der umstrittenen proMedia GmbH und den Musikindustrie-Anwalt Clemens Rasch endete ein Verfahren vor dem Landgericht Hamburg. Die Richter wiesen eine Klage der Sony BMG Music GmbH gegen eine angebliche Nutzerin einer Filesharing-Software ab (Urteil vom 14. März 2008, Az.: 308 O 76/07). Sie soll damit unter anderem zwei Lieder der Gruppe "Silbermond" angeboten haben. Die Beklagte hatte diesen Vorwurf jedoch bestritten.
Die proMedia sucht im Auftrag von mehreren großen Plattenfirmen nach Teilnehmern von P2P-Netzwerken, die dort bestimmte Musiktitel anbieten. Sony BMG hatte in dem Verfahren vorgetragen, proMedia habe ermittelt, über eine später der Beklagten zugerechnete IP-Adresse seien die Musiktitel zum Herunterladen zur Verfügung gestellt worden. Hierzu hatte die Kanzlei Rasch als Nachweis von proMedia gefertigte Ausdrucke vorgelegt.
Nach Ansicht des Gerichts sind diese Ausdrucke jedoch kein geeignetes Beweismittel für die ordnungsgemäße Durchführung der Ermittlungen. Auch der als Zeuge benannte Leiter der des Ermittlungsdienstes habe lediglich die Ergebnisse auf Plausibilität überprüft, sei jedoch bei den eigentlichen Nachforschungen nicht anwesend gewesen und habe auch die Musikdateien nicht angehört. Da dieser Leiter inzwischen wieder in Litauen lebe und die Klägerin keine anderen Beweismittel vorgelegt hatte, sei sie den Nachweis der Verletzungshandlung schuldig geblieben.Der Anwalt der Beklagten, Lambert Grosskopf, erläutert gegenüber heise online, die Entscheidung des LG Hamburg sei aber nicht als Freibrief für die Verletzung von Rechten in Tauschbörsen zu verstehen. Die Richter hätten die Anforderungen an den Nachweis einer Urheberrechtsverletzung etwas enger gefasst. Darauf würden sich die Rechteinhaber aber vermutlich einstellen. In das Zentrum der Auseinandersetzung rücke dann nach Ansicht von Grosskopf auch die Frage, ob die proMedia bei ihren Ermittlungen eine genaue Zeiterfassung vornimmt. (Quelle:heise.de)

Labels:

Beschädigtes Unterseekabel bremst Internetverbindungen in die USA

Heise online liegen Informationen vor, dass alleine der Deutschen Telekom zwischenzeitlich bis zu 30 GBit/s Datentransferrate in die USA weggebrochen sind. Schuld daran soll ein Defekt im Unterseekabel TAT-14 sein. Der Schaden wird in der Gegend von Calais vermutet. Derzeit kann wetterbedingt kein Wartungsschiff auslaufen. So dauert es möglicherweise bis zu einer Woche, bis TAT-14 wieder seine volle Bandbreite erreicht. Auf der offiziellen Homepage der TAT-14-Betreiber finden sich noch keine Berichte über Beeinträchtigungen. Sie bezeichnet das Kabel als "in full service".
Das Unterseekabel TAT-14 enthält vier Glasfaserleitungspaare und verbindet als Ring die USA mit Dänemark, Deutschland, Holland und Frankreich. Dabei liegt ein Kabel nördlich und eines südlich von Großbritannien.
Das 1,3 Milliarden US-Dollar teure TAT-14 wurde von 50 Telekommunikationsfirmen gemeinsam finanziert. Die Deutsche Telekom trug mit 250 Millionen Mark den viertgrößten Anteil. Bereits 2003 hatte ein Kabelbruch den Datenverkehr über TAT-14 für eine Weile beeinträchtigt.

Labels:

SECURITY - Spybot Search&Destroy lernt Rootkit-Suche













Der Hersteller der für Privatanwender kostenlosen Anti-Sypware-Software Spybot Search&Destroy liefert per Update ein Plug-in aus, das ihr die Suche nach Rootkits beibringt. Außerdem können interessierte Anwender ein Standalone-Tool herunterladen, das ebenfalls nach Tarnkappen-Programmen im System fahndet.

Das RootAlyzer genannte Werkzeug ist derzeit noch in der Entwicklung und steht im Forum von Spybot Search&Destroy zum Download bereit. Es untersucht die Registry, das Dateisystem und die laufenden Prozesse mit unterschiedlichen System- und Win32-API-Funktionen, um Unstimmigkeiten aufzudecken, die auf Rootkit-Befall hinweisen – eine so genannte Cross-Reference. Auch RootAlyzer ist für Privatanwender kostenlos.

Siehe dazu auch:


(Quelle:Heise.de)

Labels:

Avira AntiVir Rescue System

Das Avira AntiVir Rescue System ist eine Boot-CD basierend auf einem Linux-System mit Busybox, mit der man den Rechner von einem sauberen Medium aus starten und auf Schädlingsbefall untersuchen kann. Dadurch lassen sich auch Schädlinge aufspüren, die sich im laufenden System etwa per Rootkit-Techniken verstecken. Die täglich aktualisierte Boot-CD kommt als 50 MByte großes Windows-Programm daher, dass nach dem Start einen Brenner sucht, um das ISO-Image zu brennen. Das Image lässt sich auch auf Festplatte ablegen, um es gegebenenfalls mit einem anderen Programm zu nutzen. De täglichen Updates lassen sich auch über ein lokales Verzeichnis oder eine weitere CD einpflegen. Die Archive von knapp 20 Mbyte Größe kann man hier herunterladen.
(Quelle:Heise.de)

Programmname: Avira AntiVir Rescue System
Kurzbeschreibung: Boot-CD mit Linux-Betriebssystem zum Überprüfen eines Rechners auf Schädlingsbefall mit Möglichkeit zur Bereinigung.
Betriebssysteme: Windows
Kategorie: Analyse
Preis: 0 €
Bezugsquelle: http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe
Programmautor: Avira GmbH
E-Mail-Adresse: info@avira.de

Labels:

SECURITY: Trojaner-Angriffe auf Pro-Tibet-Gruppen

Pro-tibetische Gruppen im Internet waren in den vergangenen Tagen das Ziel von ungewöhnlich geschickt durchgeführten Angriffen mit einem Trojaner in E-Mail-Attachments. Wie F-Secure berichtet, handelte es sich um ein PDF-Dokument, das eine nicht näher bezeichnete Schwachstelle im Adobe-Reader ausnutzte, um eine Malware namens winkey.exe zu installieren und zu starten. Das Programm ist ein Keylogger, der alle Tastatureingaben auf dem befallenen Computer registriert und an eine zentrale Adresse weiterleitet.
Auffällig ist bei diesem Angriff die Qualität des "Social Engineering": Der gefälschten Absenderadresse zufolge stammt die E-Mail von der Unrepresented Nations and Peoples Organization (UNPO). Das PDF-Dokument enthält eine authentisch wirkende Solidaritätsbekundung. Mit diesen Mitteln versuche jemand, gezielt die Computer von Mitgliedern pro-tibetischer Gruppen zu infizieren, um deren Aktionen auszuspionieren, resümiert F-Secure.
(Quelle:Heise.de)

Labels:

Geheimdienste haben Zugriff auf gespeicherte Kommunikationsdaten

Die Behörden haben durch das Urteil des Bundesverfassungsgerichts ungezählte Möglichkeiten, sich auf "Gefahren" zu berufen, um an die Verbindungsdaten zu kommen.


Es ist soweit. Alle Verbindungsdaten werden gespeichert. Wer telefoniert mit wem, von welchem Ort, wie lange. Wer mailt wem, von welchem Computer aus. Sechs Monate lang sollen die Telekommunikationsanbieter diese Informationen bereithalten. Das hat das Bundesverfassungsgericht in Karlsruhe jetzt bestätigt. Ermittler dürfen auf diese Daten nur zugreifen, um eine schwere Straftat zu verfolgen. Oder um eine Gefahr für die öffentliche Sicherheit abzuwenden. Andererseits dürfen auch die Nachrichtendienste mit den Daten arbeiten.

Kaum war der Richterspruch gefallen, jubelten alle: Sowohl die Datenschützer, die die Vorratsdatenspeicherung kritisieren, als auch Bundesinnenminister Wolfgang Schäuble, der die Vorratsdatenspeicherung will. "Das sollte uns zu denken geben", findet der ehemalige Vorsitzende Richter am Verwaltungsgericht Hannover Helmut Weidemann. Es sei unlogisch, wenn sowohl Kritiker als auch Befürworter applaudieren. "Das aber scheint bislang kaum jemandem aufgefallen zu sein", meint der pensionierte Richter.

Tatsächlich wiegt der Richterspruch die Menschen in falscher Sicherheit. Es klingt beruhigend, wenn die Daten nur abgerufen werden dürfen, um schwere Straftaten zu verfolgen. Ist es aber nicht. Die landläufige Auffassung von "schweren Straftaten" ist, dass sich dabei um Mord und Totschlag handele. Ein Irrtum. Zu den schweren Straftaten zählen auch Delikte wie Betrug, Computerbetrug, Bankrott, Bestechlichkeit und Bestechung sowie Steuerhinterziehung. Das erweitert den Kreis der möglichen Betroffenen erheblich.

Auch ein Delikt wie Schleusung fällt unter die juristische Definition schwerer Straftaten. Helmut Weidemann gibt zu bedenken: "Wer gelesen hat, dass in letzter Zeit immer wieder Taxifahrer wegen Schleusung verurteilt werden, weil sie sich von ihren Fahrgästen die Personalausweise nicht haben zeigen lassen, kommt hoffentlich ins Grübeln. Wer weiß, dass auch die kleinen Reisebüros, die nicht kontrollieren, was ihre Kunden so machen, unter dem Verdacht der Schleusung stehen, müsste bereits Kopfschmerz empfinden."

Die "Abwehr von Gefahren für die öffentliche Sicherheit" ist ebenfalls ein weites Feld. Ein Fußballspiel zum Beispiel reicht aus, um die Reisebewegungen der Fans zu untersuchen. Politische Großveranstaltungen wie der G8-Gipfel liefern erst recht einen Vorwand, die Besucher unter die Lupe zu nehmen - gleichgültig, ob sie ihr Bürgerrecht zu demonstrieren nutzen wollen oder nicht.

Kurzum: Die Behörden haben ungezählte Möglichkeiten, sich auf "Gefahren" zu berufen, um an unsere Daten zu kommen. Jeder von uns kann unschuldig ins Fadenkreuz staatlicher Verdächtigung und Überwachung geraten.
Der Karlsruher Richterspruch bestätigt darüber hinaus: Geheimdienste dürfen die Daten abrufen, um ihre Aufgaben zu erfüllen. Der normale Bürger mag sich denken, er sei kein James Bond und habe deshalb mit den Nachrichtendiensten nichts zu tun. Auch das ist ein fataler Irrtum. Einer der Aufgaben der Dienste ist es, Schleusung zu bekämpfen. "Also kümmern sie sich auch um Taxifahrer und kleine Reisebüros", merkt Helmut Weidemann an. Der 69-Jährige urteilte in zahlreichen polizeirechtlichen Rechtsstreitigkeiten sowie über diverse Verfassungsschutzverfahren.
Doch damit nicht genug. Der Bundesnachrichtendienst (BND) wirbt in seiner Selbstbeschreibung damit, dass er ein "Frühwarnsystem" sei. Früh warnen kann aber nur, wer schon im Vorfeld ermittelt, also präventiv, unabhängig von jedem Verdacht.
Helmut Weidemann urteilt aus seiner beruflichen Praxis: "Der BND wird also die Telefon- und Internet-Daten in einem viel breiteren Rahmen abrufen und auswerten, als das vielen zunächst aufgefallen ist. Gleiches gilt für den Verfassungsschutz." Kein Wunder, dass sich Bundesinnenminister Schäuble über das Karlsruher Urteil so freut. Er weiß, wie seine Behörden arbeiten. Wollten Ermittler eine richterliche Genehmigung, eine Wohnung zu durchsuchen, hätten sie diese bisher relativ leicht bekommen, erzählt Weidemann. Bei den Telefon- und Internet-Daten werde es nicht anders sein.
Die staatliche Datensammelwut ist damit jedoch noch lange nicht befriedigt. Ein Beispiel: die Fluggastdaten, die neuerdings generell - und nicht nur für Flüge in die USA - erhoben werden. EU-Justizkommissar Franco Frattini hat angekündigt, dass dies nur der erste Schritt sei. "In der nächsten Stufe müssen wir uns um die Züge kümmern", sagte er. Der Computerkonzern IBM hat bereits eine Technik angeboten, mit der sich Zugpassagiere überwachen lassen. Es fehlt nur noch das entsprechende Gesetz. Aber das wird kommen.
Wenn die Telefon- und Internetprovider verpflichtet sind, bestimmte Verkehrs- und Standortdaten, die bei der Nutzung von Telefon, Handy, E-Mail und Internet anfallen, für einen Zeitraum von sechs Monaten zu speichern, so werden alle diese Daten Objekt der Begehrlichkeit bleiben. Sind solche Daten erst einmal erfasst, dann werden sie auch früher oder später genutzt werden.
Bislang haben wir immer nur über staatliche Ermittler uns Sorgen gemacht. Aber: All diese sensiblen Daten befinden sich zunächst in den Händen von Privatfirmen. Jeder von uns hat bestimmt schon so seine Erfahrungen mit deren call center gemacht. Wer dort arbeitet, verdient oft nicht mehr als fünf Euro. Und soviel Lebenserfahrung sollte jeder haben, um sich vorzustellen, was es heißt, ausgerechnet die sensibelsten Daten in die Hände von Menschen zu geben, die nur das Existenzminimum verdienen.

Googles neue Suchoption hat nicht nur Freunde

Kaum hat Google eine neue Funktion entwickelt, gerät sie in die Kritik: Dieses Mal erhitzen sich die Gemüter an der "Suche innerhalb der Site ". Wird nach einer Webseite oder einem Unternehmen gesucht, bietet Google als erstes Ergebnis die zugehörige Homepage an. Neu ist ein Textfeld zur Eingabe weiterer Suchparameter darunter, mit der Anwender ihre Suche auf die entsprechende Website eingrenzen und verfeinern können.
Damit haben einige Unternehmen offenbar ein Problem. Mit den Ergebnissen der verfeinerten Suche erhalten Anwender über Google-Anzeigen auch Angebote von konkurrierenden Unternehmen. Zudem bleiben die Suchenden auf Googles Servern, anstatt auf der Unternehmensseite zu suchen und dort unter Umständen Werbeeinnahmen zu generieren. Suchmaschinennutzer dürften die neue Funktion als Erleichterung empfinden. US-amerikanischen Medienberichten zufolge habe Google bislang auch kaum Beschwerden von Unternehmen erhalten. Allerdings seien einige Suchmaschinenspezialisten und Marketingunternehmen verstimmt. Eines der Probleme, das sie sehen: Kleine Unternehmen bräuchten keine Werbung auf mehreren Seiten mehr schalten, sondern könnten durch Werbung bei Google im Kielwasser von großen Marken schwimmen. Größere Marken hingegen würden dadurch weniger verkaufen. (Quelle:Heise.de)

Labels:

Mittwoch, März 19, 2008

SECURITY - Globaler Hackerangriff: Über 100.000 Seiten betroffen

Ein globaler Hacker-Angriff hat weit über 100.000 Webpages betroffen, darunter auch solche in den englischen und japanischen Viren-Enzyklopädien des Antivirenherstellers Trend Micro. Eingefügter JavaScript-Code sollte Nutzer zu schädlichen Seiten umleiten und weiterer Malware aussetzen.
Trotz des massiven Volumens könnte die Zahl geschädigter Nutzer gering bleiben. "Ich gehe davon aus, dass es etwa 20.000 Pages waren, auf denen der Schadcode wirklich funktioniert hat", meint Raimund Genes, Trend Micro CTO Anti-Malware, im pressetext-Gespräch. Allerdings ist die Angriffsmethode für das Internet von großer Bedeutung.
Die aktuelle Attacke war massiv. Codefragmente waren bereits am Freitag auf 165.000 Pages zu finden, inzwischen dürfte diese Zahl noch deutlich gestiegen sein. Die tatsächliche Bedrohung aber war geringer. "Das JavaScript wurde auf den Trend-Micro-Pages automatisch als HTML codiert", erklärt Genes. Dadurch wurde der Schadcode nicht direkt ausgeführt. Nutzer hätten sich durch händische Eingabe seinen Auswirkungen aussetzen müssen. Ähnliches dürfte für viele andere Seiten gelten, sodass nur ein Bruchteil der betroffenen Pages Nutzer automatisch umleitet. Eine dabei angesprochene Domain mit Malware-Seiten sei Trend Micro schon vor Entdeckung des Angriffs auf die eigenen Seiten in der Vorwoche bekannt gewesen. Inzwischen sei sie durch Zusammenarbeit mit dem chinesischen Computer Emergency Readiness Team vom Netz genommen worden.

Neun von zehn Seiten angreifbar

Entgegen ersten Medienberichten handelte es sich nicht um eine Attacke mit iFrames, so Genes. "Es war eine Javascript-Insertion über SQL-Injection", erklärt er. Unabhängig vom genauen Vektor zeigt der aktuelle Massenangriff allerdings klar, dass sich Malware-Attacken vermehrt von E-Mail-basierten Angriffen hin zur Verbreitung über das Web verlagern. Immerhin neun von zehn Servern seien laut WhiteHat Security angreifbar, betont Genes. Ansatzpunkt für Angriffe sind häufig interaktive Elemente wie die Suchfunktionen in Trend Micros Viren-Ezyklopädie. "Interaktive Webseiten sind am verwundbarsten", erläutet der Malware-Experte. Hier kann es schwer sein, Manipulationen zu entdecken. Statische Webseiten hingegen sind leicht auf Veränderungen zu prüfen.
Beim aktuellen Angriff wurden Webseiten offenbar automatisch nach Lücken gescannt und es wurde versucht, den Schadcode einzubauen. Diese automatisierten Massenangriffe können zwar viele Seiten infizieren, träfen aber eher selten wirklich bekannte und wichtige Pages, wie Genes erläutert. Im aktuellen Fall hat es mit Trend Micro einen bekannten Antiviren-Hersteller erwischt. Die betroffenen Seiten der Viren-Enzyklopädie zählen aber als weiterführende Informationsquellen nicht zu den kritischsten Web-Ressourcen des Unternehmens, betont Genes. Wirklich auffällige Angriffe etwa auf die Startseiten wichtiger Organisationen seien meistens zielgerichtet. (Quelle:techchannel.de)

Labels:

MP3-Player zukünftig mit Lautstärkebegrenzung!

MP3-Player und Mobil-Kopfhörer sollen demnächst mit einer Lautstärkebegrenzung ausgestattet werden. Ein neues EU-Gesetz soll die Hersteller dazu verpflichten, die maximale Lautstärke auf 100 Dezibel zu begrenzen.
MP3-Player und Mobil-Kopfhörer sollen demnächst mit einer Lautstärkebegrenzung ausgestattet werden. Ein neues EU-Gesetz soll die Hersteller dazu verpflichten, die maximale Lautstärke auf 100 Dezibel zu begrenzen. Das hat jetzt die Zeitschrift "Audio" berichtet. Vor allem Liebhaber von Musik mit stark ausgeprägten Wechseln zwischen lauten und leisen Passagen büßen demnach Klanggenuss ein. Denn leise Abschnitte eines Musikstücks dürften etwa in öffentlichen Verkehrsmitteln von den Umgebungsgeräuschen überdeckt werden.
Den anvisierten Schutz vor Gehörschäden könne die neue Verordnung laut der Zeitschrift nicht bieten. Die stark komprimierten Songs werden aus MP3-Playern auch weiterhin mit einem gehörigen Schalldruck ans Ohr dringen. Das gelte insbesondere dann, wenn Billig-Kopfhörer zum Einsatz kommen, die vor allem mittlere Frequenzbereiche gut wiedergeben. Dadurch sei das Klangbild insgesamt laut, aber der Grenzwert werde dennoch nicht überschritten. Wer auch in Zukunft seine Musik wie gewohnt hören möchte, sollte seinen MP3-Player aus den USA oder Fernost beziehen, rät das Magazin. Denn die dort hergestellten Geräte unterliegen nicht der EU-Lautstärkebegrenzung.

Labels:

Nigerianische E-Mail-Betrugsmasche zieht immer noch

4,3 Milliarden US-Dollar haben E-Mail-Betrügereien voriges Jahr an Verlusten verursacht. Noch immer ist der Nigeria-Betrug oder 419-Scam am erfolgreichsten, obgleich er seit den 70er-Jahren zunächst mit Briefen, dann mit Fax-Sendungen und schließlich mit E-Mails betrieben wird, die zu Millionen versendet werden. Dabei wird den Empfängern in einem "Geschäftsvorschlag" versprochen, sie könnten große Summen verdienen, wenn sie helfen, ein Geschäft, meist ein Geldtransfer, in die Wege zu leiten und einen gewissen Betrag vorschießen. Auf das große Geld warten die Betrogenen dann ebenso vergeblich wie auf eine Rückzahlung des Vorschusses.
Die niederländische Firma Ultrascan, die seit 1996 E-Mail-Betrügereien untersucht und jetzt den Bericht für das Jahr 2007 veröffentlicht hat, spricht von einer "schnell wachsenden multinationalen Industrie in 69 Ländern". Mindestens 250.000 Nigerianer sollen an den 419-Scams beteiligt sein und 31.000 in anderen Ländern, die meisten davon in den USA, China und Kanada. Das ganze Ausmaß der Vorschussbetrügereien ist allerdings nicht bekannt. Aufgrund der vorhandenen Informationen geht Ultrascan davon aus, dass 95 Prozent der Lotterie- und 88 Prozent der Scheckbetrügereien mit der Nigeria Connection zu tun haben. Allein in Deutschland sollen die Verluste mit den Betrügereien bei Firmen und Personen 2007 mindestens 280 Millionen US-Dollar betragen haben, in den USA sollen sie sich gar auf mindestens 830 Millionen US-Dollar belaufen. Besonders hoch seien auch die Verluste in Großbritannien (580 Millionen US-Dollar) und Spanien (355 Millionen US-Dollar) gewesen. Einzelfälle von Verlusten in Millionenhöhe seien gar nicht so außergewöhnlich.
Die Firma hat auch eine Untersuchung der 362 schwersten Betrugsfälle ausgeführt, in der die Opfer mehr als 190.000 Euro verloren haben. Das Ergebnis: Besonders Akademiker und gut ausgebildete Personen scheinen den Betrügern am schnellsten auf den Leim zu gehen – allerdings dürften sie auch am ehesten das Geld dafür haben, sich mit solch hohen Summen betrügen zu lassen. Bei 85 Prozent der Opfer soll der Verlust eines Elternteils durch Tod oder schmerzhafte Trennung vorangegangen sein. Dazu gehören Unternehmer, Kommissare und sogar 17 Direktoren von Unternehmen, die an der Börse notiert sind, wie die Times berichtet. Besonders verführbar seien Mediziner mit hohem Selbstvertrauen, wenn der Betrüger suggeriert, dass sie etwas Gutes täten. Schlecht ausgebildete oder finanziell unerfahrene Menschen seien hingegen für die Betrüger, so Ultrascan, nicht attraktiv, weil sie ihren eigenen Urteilen nicht trauen und bald feststellen würden, dass man ihnen eine Falle gestellt hat.

Labels:

Weiter Fehler in US-Terroristenliste

Dass Reisende auf amerikanischen Flughäfen Ärger mit dem Sicherheitspersonal bekommen, weil sich ihre Namen auf einer Liste mit verdächtigen Personen befinden, kann auch weiterhin nicht ausgeschlossen werden. Zwar ist die Kritik am Zustandekommen der amtlichen US-Watchlist für bekannte bzw. verdächtigte Terroristen nicht mehr so massiv wie noch vor einem halben Jahr, dennoch findet der aktuelle Bericht (PDF-Datei) des US-amerikanischen Justizministeriums noch deutliche Mängel bei der Führung der Liste.
Besonders bemängelt der Generalinspekteur des Justizministeriums, Glenn A. Fine, der die Verfahren untersuchte, nach denen im Zeitraum zwischen Juni und Oktober vergangenen Jahres Personen in die Liste aufgenommen wurden, "inkonsistente Methoden" der verschiedenen Behörden.
Hauptverantwortlich für die Listenführung ist das Terrorist Screening Center (TSC) des FBI. Das FBI tauscht mit anderen Behörden, etwa der Drug Enforcement Administration (DEA) oder der National Security Division (NSD), geheimdienstliche Informationen aus, die manchmal - ohne gegenseitige Überprüfung und Wissen der Behörden – als Grundlage für die Aufnahme von Personen in die Terrorismus-Liste dienten.
Laut dem Bericht des Justizministeriums gab es Fälle, in denen Agenten Namen von Personen, gegen die nicht wegen Terrorismus-Verdacht ermittelt wurde, direkt an das National Counterterrorism Center weitergaben. Durch diese Praxis würden Kontrollen des FBI umgangen und mögliche Fehler unbemerkt bleiben.
Als weiteren Mangel stellt der Bericht heraus, dass die Vorschläge mancher Agenten für das Eintragen von Personen oft "unvollständige und ungenaue" Informationen enthielten. Zudem wurden die Berichte über Personen, gegen die wegen Terrorismusverdacht ermittelt wurde, nicht immer auf dem neuesten Stand gebracht. Sollte sich jemand aus irrtümlichen Gründen auf der Liste finden, so kann es dauern, bis der Fehler behoben wird: Wichtige Informationen, die an das Hauptquartier des FBI gehen sollten, trafen mit Verspätungen von bis zu vier Monaten ein. Interne Regelungen schreiben einen Zeitraum von zehn Tagen vor.Zwischen Januar 2005 und November 2007 wurden laut Generalinspekteur Fines 8000 neue Einträge gemacht. Die Terrorismus-Watch-List, die vom FBI geführt wird, fasst mehrere frühere Regierungslisten zusammen und laut Washington Post eine wachsende Zahl neuer Quellen, wie zum Beispiel die Daten von Flugpassagieren. Im April vergangenen Jahres enthielt die Liste mehr als 720.000 Einträge – allerdings können zu einer Person mehrere Einträge existieren. (Quelle:Heise.de)

Labels:

Windows Vista Service Pack 1 zum freien Download

Nach wochenlangem Hin und Her steht das SP1 für Vista erstmals offiziell zum Download bereit. Bis zur Auslieferung über Windows Update dauert es aber noch einen Monat. Fertiggestellt hat Microsoft das SP1 für Vista zwar bereits Anfang Februar, bislang war es aber nur ausgewählten Personenkreisen zugedacht. Doch nun ist es soweit: Ab sofort kann sich jedermann das SP1 aus Microsofts Downloadcenter herunterladen, sowohl für 32-Bit- als auch für 64-Bit-Installationen.
Zur Verfügung steht die als "Wave 0" bezeichnete erste Version des SP1, die nur für die Sprachen Englisch, Deutsch, Spanisch und Französisch geeignet ist. Eine als "Wave 1" bezeichnete zweite Variante, die auch alle anderen Vista-Sprachversionen aktualisiert, erscheint irgendwann später – der genaue Termin ist noch unklar. Die Installationspakete aktualisieren alle Vista-Ausgaben von Starter bis Ultimate. Die 32-Bit-Variante ist 434 MByte groß, während das x64-Paket 726 MByte umfasst.
Windows Update soll ab dem 18 April eine deutlich schlankere Version ausliefern; Vista lädt dann nur Daten für die eigene Version und Sprache herunter – je nach Update-Stand sollen es rund 70 MByte sein. Die Installation des SP1 dauert bis zu mehreren Stunden und verlangt zumindest temporär nach mehreren GByte freiem Festplattenplatz. Grundlegendes rüstet das SP1 nicht nach, sondern behebt in erster Linie Fehler und Probleme. Nach dem Update soll Vista mehr Tempo beim Kopieren und Entpacken von Dateien zeigen und die Benutzerkontensteuerung soll nicht mehr ganz so oft beim Anwender nachfragen. Eine Übersicht zu den Neuerungen des Service Pack 1 hat Microsoft in einem englischsprachigen Whitepaper zusammengestellt.
Die Verzögerung, mit der Microsoft das SP1 zum freien Download bereitstellt, sollte unter anderem Hard- und Softwareherstellern Zeit geben, ihre Produkte an das SP1 anzupassen und Fehler zu beseitigen – was wohl auch in manchen Fällen dringend geboten war: So musste Microsoft einräumen, dass einige Treiber die Installation des SP1 verhindern – genauer gesagt deren Setup-Programme, die währenddessen erneut durchliefen. Um welche Treiber es sich handelt, hat Microsoft bislang nicht verraten, so dass unklar ist, ob die Probleme mittlerweile beseitigt sind. Schwierigkeiten machten auch einige Anwendungen, Microsoft hat inzwischen eine entsprechende Liste veröffentlicht.
Aufgrund der bekannten Probleme sollte man vor der Installation des SP1 vorsichtshalber ein Backup anfertigen. Nutzer von Vista Ultimate, die nachträglich Sprachpakete installieren wollen, sollten besser auf "Wave 1" warten, weil das Nachinstallieren der Pakete mit "Wave 0" scheitert.
(Quelle:Heise.de)

Labels: