Schlagwort: Sicherheit

Veröffentlicht am

ApplePay – Alltagstauglich, doch kein Selbstläufer.

Da grade ApplePay in Deutschland eingeführt wird, schreiben alle über Bezahlen per Handy. Natürlich mit Vorbehalten. So heißt es auf tagesschau.de:

Richtig alltagstauglich ist mobiles Bezahlen aber noch nicht. „Das fängt schon bei den Grundvoraussetzungen an“, kritisiert Maike Strudthoff, Mobile-Payment-Expertin und Autorin für Digitalthemen. „Kunden brauchen das richtige Handy, nämlich NFC-fähig, und müssen die passende Bank haben, die wiederum eine kompatible Zahlungskarte anbietet. Das ist verwirrend und noch nicht unbedingt für die Masse nutzerfreundlich.“

In meinen Augen ist das falsch. Denn wenn die beschriebene Verwirrung erst einmal geklärt ist — fast jeder in der Zielgruppe hat bereits ein NFC-fähiges Handy — ist die Technik sehr alltagstauglich. Denn gerade im Alltag gibt es die Verwirrung nicht mehr: Wir kramen nicht in Handtaschen und Rucksäcken, welches von zehn Handies wir jetzt benutzen sollen. Und wir müssen auch nicht zwischen fünf verschiedenen Girokonten wählen. Einfach das Handy an die bezeichnete Fläche an der Supermarktkasse halten — fertig. In den viel zitierten Bäckerein müssen wir wohl weiterhin bar zahlen – big deal.

Insbesondere die Geschwindigkeit begeistert. Von alten Supermarktkassen bin ich es noch gewohnt, dass man den halben Einkauf einpacken kann, bis denn endlich der Beleg zum Unterschreiben aus der Kasse gezuckelt kommt. Diese Wartepause ist verschwunden.

Ich glaube dennoch, dass diese Zahlungsmethode nicht plötzlich von allen Deutschen adaptiert wird. Aus zwei Gründen:

Zum einen sind mittlerweile auch Kontokarten der verschnarchtesten Sparkassen mit NFC ausgestattet. Der Geschwindigkeitsgewinn ist also kein Alleinstellungsmerkmal des Handyzahlens.

Zum zweiten: Auch wenn Apple seit einem Jahr unentwegt dafür wirbt, dass sie nie, nie, niemals die Daten ihrer Kunden verkaufen (halt nur einen Milliardendeal mit Google, aber Schwamm drüber) – will man wirklich alle Käufe über Silicon Valley und deren Dienstleister abwickeln? Mit dem Hersteller, der buchstäblich den Puls vieler Kunden erfassen kann?

Veröffentlicht am

Elementary

Als ich vor einigen Jahren „Elementary“ entdeckte, war ich fasziniert. Eine Adaption von Sherlock Holmes in New York ist heute nur folgerichtig. Denn New York ist heute das, was Ende des 19. Jahrhunderts London war. Und: Anders als so viele New York-Serien ist diese nicht in Los Angeles gedreht worden. Andererseits: Wenn US-Sender sich europäischen Stoffen widmen, dann wird das Ergebnis schnell banal.

Und dennoch: Was ich sah, gefiel mir. Lucy Liu als Watson war eine interessante Wahl. Sherlocks Neuerfindung als Junkie ist gerade heute sehr relevant. Die ersten Fälle waren spannend erzählt, gekonnt verwoben und die Regisseure geizten nicht mit Ausblicken auf diese faszinierende Stadt. Ich war hooked: Ich freute mich nach einer Folge schon auf die nächste. Nach zirka zwei Staffeln hatte sich mein Verhältnis zu der Serie wieder deutlich abgekühlt. Ich sah keinen Sinn mehr, die nächste Folge einzuschalten. Und tat es deshalb auch nicht mehr.

In letzter Zeit habe die Serie auf Netflix entdeckt und wieder reingeschaut. Und wieder war ich fasziniert. Diesmal nicht von der Serie an sich, sondern weil ich herausfinden wollte, was mich stört. Ich bin ein Anhänger der These, dass Fiktionen auf viele Weise unsere Realität widerspiegeln – und in der Masse verändern die Fiktionen wiederum unsere Realität. Und dass in der Realität einiges schiefgelaufen ist, steht nicht wirklich zur Debatte. Was also hat mich von der Serie abgeschreckt, obwohl sie nach kommerziellen Kriterien ein gewaltiger Erfolg ist und bald in die sechste Staffel geht?

Eine gelungene Kombination?

Fangen wir zuerst nochmal mit den positiven Aspekten an: Obwohl eine Staffel aus 24 Fällen besteht, ist Elementary clever geschrieben und schafft es immer wieder, aktuelle Themen mit den alten Geschichten von Sir Arthur Conan Doyle zu verknüpfen. Drohnen. Mrs Hudson. Das Bienensterben. Lestrade. Anonymous. Drogensucht. Dabei steht die Serie Konkurrenten wie The Good Wife, Castle oder White Collar in nichts nach. Dass Holmes nun auf Verkleidungen verzichtet und stattdessen ein unglaubliches Sprachtalent mitbekommen hat, ist nur folgerichtig. Dass die Red Headed League sich nicht mehr nach zu einem Tresor durchbuddelt, sondern zu einem Transatlantik-Datenkabel – Kudos. Dass Moriarty nun mit Irene Adler kombiniert wurde – nun, das ist zumindest wagemutig.

Doch die anfänglich Kreativität ist nach 40, oder 50 Folgen in Stagnation und Lethargie umgeschlagen. Beispielsweise war das Hacker-Kollektiv „Everyone“ mal eine anregende Idee. Zwischenzeitlich wird es aber zum Joker, der in fast jeder Folge gezückt wird, wo ein kleines Plot-Loch besteht: Sherlock müsste etwas ermitteln, was eigentlich nicht zu ermitteln ist? Keine Sorge: „Everyone“ ist unfehlbar und immer verfügbar.

Ein Grund-Defekt vieler Serien mit dem Schauplatz New York ist, dass die gezeigten Apartments immer zu groß sind. Bei Elementary fiel das zunächst nicht so auf. Mit seinem Brownstone in Williamsburg/Harlem hat sich Holmes eine extraterritoriale Oase geschaffen, seine Ermittlungen führen ihn meist an den Arbeitsplatz von Zeugen, selten mal in eine Wohnung. Doch wenn man die Serie länger schaut, erkennt man schnell: So lebt man nicht wirklich in New York. Weite Strecken sehen mittlerweile wie ein Werbespot für Luxus-Immobilien aus. Das wirkt sich irgendwann auch auf den Plot aus. In unwirklichen Wohnungen leben unwirkliche Menschen. Auf der einen Seite die besserverdienenden Abziehbilder: Anwälte, CEOs, Unternehmensberater. Auf der anderen Seite die untere Klasse, die in geradezu Dickins’scher Armut gezeigt wird. Werden sie in Apartments ermordet, fällt die Farbe von den Wänden.

The other half

Dass etwas nicht stimmt, dass das nicht reicht, haben die Autoren in Staffel 3 selbst gemerkt. Joan Watson ist hier schon kein Gegenpart mehr, die den vermeintlichen Übermenschen Sherlock auf den Boden zurückholt. Stattdessen mutiert sie immer mehr selbst zur Überfliegerin, die Wissen aus reiner Luft bezieht und jahrealte Mysterien im Handumdrehen löst.

Man kann es an der Flut neuer Figuren bemerken, die schnell eingeführt werden und wieder verschwinden. Der London-Import Kitty bleibt merkwürdig unvollständig. Grade als man in den Versuch kommen könnte, sie zu verstehen, verschwindet sie wieder. Gleiches passiert mit dem Sponsor und Autoknacker Alfredo. Mit dem Bruder von Sherlock. Mit dem Vater von Sherlock. Irene. Storybögen werden gespannt — und verschwinden im Nichts. Immer wieder verliert sich Elementary in kreativen Sackgassen. Joan zieht aus, Joan zieht wieder ein. Der Job beim NYPD ist vorbei, der Job beim NYPD ist wieder da. Sherlock wird empathisch und Sherlock kehrt wieder zu seinem rüden Selbst zurück. Sherlock beginnt eine Liebesbeziehung. Und sie verfliegt.

Gleichzeitig flüchten sich die Autoren in Narrative, die man seit Jahrzehnten erfolgreich einem nicht-denkenden Publikum verkaufen kann: Der absolut einzige Weg aus Abhängigkeit sind Selbsthilfegruppen mit dem 12-Punkte-Programm. Es gibt das absolut Böse. Braune Menschen sind kriminell oder mit Kriminellen verwandt. Folter wirkt. Wenn wir nur überall Kameras aufhängen, ist quasi jedes Problem lösbar. Der Rechtsstaat hindert nur. Superhelden stehen über dem Gesetz.

No Law, But Order

Gerade diese tiefe Verachtung für den Rechtsstaat irritiert mich zunehmend. Holmes muss nie in einem Strafprozess aussagen, er zerstört immer wieder jegliche Beweiskette, erpresst Zeugen, bricht ein. Am Anfang konnte man das noch mit seinem Außenseitertum begründen — auf die Dauer wird es jedoch ermüdend. Richtig skurril wird es, wenn Detective Bell eine Romanze mit einer anderen Polizistin entwickelt. Als er erfährt, dass seine Freundin für die Internen Ermittlungen — the rat squad — arbeitet, versteigert er sich in moralische Tiraden über Spitzel, die echte Polizisten verraten, mit voller Unterstützung von Holmes und Watson. Da stand wohl die Serie Blue Bloods Pate. Denn das Department, der ehrliche Cop hat letztlich immer recht.

Auch die Konstruktion der Fälle wird zunehmend nachlässig und simpel. Egal ob es um Diebstahl, Betrug oder Entführung geht: Es muss immer jemand ermordet werden. Echte Gründe braucht dazu kaum ein Täter. Es ist egal wie komplex die Pläne sind, die zum Erfolg führen. Wachmänner, Zeugen, Geschäftspartner und Ehepartner werden ohne Skrupel oder Reue beseitigt. Was ist das nur für ein Menschenbild?

Und hier bin ich wohl am Punkt angelangt, der mich bei Elementary zunächst unbewusst gestört hat. Aus einem intellektuell anregenden Spiel ist durch bloße Wiederholung und dem Beharren auf simplen Denkmustern etwas geworden, was nur noch dazu eignet, sein Gehirn abzuschalten. Und wenn wir unser Gehirn abschalten und uns dauernd mit Zynismus berieseln lassen, dann verschwindet dieser Zynismus nicht so einfach wieder aus unseren Köpfen. Sondern setzt sich fest. Fiktionen spiegeln auf viele Weise unsere Realität wider – und in der Masse verändern sie unsere Realität.

Veröffentlicht am

Regulierung muss moderne Geschäftsmodelle verhindern

Der Satz wird so oft gesagt, dass man ihn schon nicht mehr wahrnimmt. „Regulierung darf moderne Geschäftsmodelle nicht verhindern“, heißt es immer wieder. Und jeder nickt.

 

Dabei ist der Satz grundfalsch. Denn es ist gerade die Aufgabe von Regulierung moderne Geschäftsmodelle zu verhindern. Früher verhinderte die Regulierung den Verkauf äußerst preisgünstiger und immens arbeitplätzeschaffender Dampfkessel, die dann beim Kunden irgendwann explodierten. Das war ein äußerst modernes Geschäftsmodell. Heute muss Regulierung Geschäftsmodelle verhindern, die rücksichtlos und dauerhaft schädigend mit Daten umgehen. Auch Crypto-Trojaner, die ganze Unternehmensnetzwerke lahmlegen, bis denn eine Zahlung geleistet wurde, sind ein sehr modernes und lukratives Geschäftsmodell.

Nun kann man drüber streiten, welches Geschäftsmodell genau mit welchen Mitteln verhindert oder eingeschränkt werden darf. Die Modernität ist jedenfalls kein Kriterium, das einen Regulierungs-Freibrief begründen könnte. Oder kurz gesagt: Regulierung muss moderne Geschäftsmodelle verhindern. Sonst kann man sie sich auch sparen.

Veröffentlicht am

Missverständnisse zu #efail

Heute morgen hat uns die Electronic Frontier Foundation ganz schön erschreckt, als sie plötzlich verkündete, dass man PGP-Plugins deinstallieren solle. Nachdem ich das zugrunde liegende Papier gelesen habe, das aufgrund der übereilten EFF-Veröffentlichung einen Tag früher als geplant online gestellt wurde, kann ich diese Empfehlung nach wie vor nicht nachvollziehen.

Ja, es sind gravierende Sicherheitslücken. Was die Forscher in ihrem Paper beschreiben, ist ein Aushängeschild für den schlechten Zustand der Verschlüsselungslösungen für Endnutzer. Was mir bei der Berichterstattung allerdings etwas übel aufgefallen ist: Einige Kollegen erzählten eine Geschichte, wonach nun plötzlich ein super-sicheres System zum ersten Mal geknackt worden sei.

Der übliche Einwand darauf ist: Die Verschlüsselung wurde nicht geknackt, sondern nur umgangen. Das trifft auch hier zu. Für den Anwender mag das im Ernstfall wenig tröstlich sein. Aber treten wir mal einen Schritt zurück und sehen, worum es wirklich geht. Eine der Voraussetzungen des heute veröffentlichten Angriffs-Szenarios ist es, dass der Angreifer bereits die E-Mails des Opfers erfolgreich abfangen konnte, und nun dringend noch den Schlüssel braucht. Und sich überhaupt nicht drum schert, dass der Angriff morgen einfachst nachvollzogen werden kann.

Auf deutsch: Edward Snowden sollte heute morgen wirklich nicht Thunderbird mit den untersuchten PlugIns verwenden. Was er wohl eh nicht tat. Die meisten(!) anderen Nutzer sollten sich aber eher Gedanken drum machen, dass sie ihre E-Mail- und Verschlüsselungs-Software updaten und die Voreinstellungen überprüfen.

Eine der wichtigen Lektionen von heute ist: Verschlüsselte Daten sind nur so sicher, wie das System, auf dem sie gespeichert sind und verarbeitet werden. Es hat immer hunderte Wege gegeben und es wird immer hunderte Wege geben, an PGP-verschlüsselte E-Mails zu gelangen, wenn denn der Empfänger seine IT-Systeme nicht wirklich unter Kontrolle hat. Man kann versuchen, auf dem Rechner einen Trojaner zu installieren. Man kann Backup-Daten klauen und drauf hoffen, dass der betreffende seine wichtigen E-Mails, Passworte oder Cache-Daten im Klartext abgespeichert hat. Man kann den Bildschirminhalt und Prozessorenaktivitäten über erstaunliche Entfernungen abhören. Oder schlicht drauf warten, dass irgendjemand den falschen Knopf drückt und einen langen E-Mail-Thread im Klartext versendet. Und, und, und… Die Möglichkeiten der Gegenwehr sind vorhanden, aber nicht unerschöpflich. Um IT-Systeme sinnvoll absichern zu können, muss man einschätzen können, wie sehr und von wem man denn bedroht ist.

Die konkretere Lektion ist: E-Mail-Programme sind nicht so sicher, wie wir es gerne hätten oder bis heute angenommen haben. Jeder sicherheitsbewusste Nutzer sollte mittlerweile gehört haben, dass man E-Mails nicht Daten aus dem Internet nachladen lässt. Denn so fängt man sich nicht nur finstere Verschlüsselungsknacker ein, sondern auch Spammer und Möchtegern-Hacker. Nun haben die Forscher einige Wege gefunden, wie E-Mail-Programme ungewollt nach außen kommunizieren. Einige sind nicht ganz so neu — aber dennoch nicht abgeschafft. Andere waren zumindest weniger bekannt und müssen nun ganz gezielt ausgemerzt werden.

Was mich auch etwas nervt, wie wenig Kontext durch die Skandalisierung transportiert werden konnte. Wenn man ganz laut ALARM!!!! schreit, bleibt halt wenig Platz für Erklärungen. Wenn E-Mail-Programme Informationen nach außen leaken lassen, können Angreifer dies nicht nur dazu nutzen, um verschlüsselte E-Mails zu entschlüsseln. Man kann die gleiche Technik verwenden, um jemanden zu enttarnen, der sich hinter einer vermeintlich anonymen E-Mail-Adresse verbirgt. Man schickt dem Betreffenden eine präparierte E-Mail und wenn er sie öffnet, hat man die IP-Adresse und vielleicht noch zwei bis drei andere Datenpunkte, mit dem man ihn identifizieren kann. Das ist gängige Praxis. Selbst abgefeimteste Profis fliegen so auf. Und wenn weder Gesetzeshüter, noch Geheimdienste die Lücke nutzen: Spammer und Abobetrüger greifen sicher gerne zu.

Ein weiterer Kontext, der mir deutlich zu kurz kam: Die in Großunternehmen verwendete Verschlüsselung S/MIME schneidet im Papier wesentlich schlechter ab als die OpenSource-Lösung PGP. Und das ist ein großes Problem. Updates für Thunderbird sind schon veröffentlicht, weitere folgen in Kürze und können von Einzel-Nutzern schnell installiert werden. Ein Update der E-Mail-Software und Verschlüsselungslösungen etwa für 100000 Angestellte weltweit auszurollen, ist jedoch etwas, was nicht ganz so schnell passiert.

Auch Kontext: Die Veröffentlichungsstrategie. Der Hashtag #efail — muss das wirklich sein? Er ist zwar schön griffig, aber er transportiert vor allem Häme. Und das ist einfach #facepalm.

Lange Rede, kurzer Sinn: Ich wünschte, wir könnten etwas abgeklärter, und informativer über solche Probleme reden.

Veröffentlicht am

Noch einige Missverständnisse zur Blockchain

Seit ich kürzlich einige Missverständnisse zur Blockchain aufgezählt habe, haben Leute eine perverse Freude daran, mir Artikel mit teils absurden Blockchain-Lobpreisungen zuzuschicken. Jemand designte sogar ein T-Shirt, das mir in den meisten Fällen angemessen angemessen erscheint.

Aber ich habe erkannt: Es gibt eine Menge weiterer Missverständnisse, und sie verbreiten sich massenhaft ohne nennenswerten Widerspruch. Es ist eine Melange aus etwas Mathematik, viel Esoterik und Wall Street-Denken entstanden. Also lege ich hier mal ein paar Erklärungen nach.

Das Dezentralitäts-Paradox

Blockchains sind — im Prinzip — eine dezentrale Technik. Das alleine scheint schon viele Leute von der Technik zu überzeugen. So fantasiert zum Beispiel Philippe Wampfler in seinem Blog über eine Bildungsrevolution — dank Blockchain. Da ich seit über 20 Jahren Dezentralität im Internet verfechte, bin ich nicht ganz so leicht überzeugt.

Zum einen: Sehr dezentral sind Blockchains in der Praxis gar nicht. Die Mining-Kapazitäten der Bitcoin-Blockchain liegen in der Hand von einer Handvoll Miner, die reichlich Kontogebühren für ihre kryptographischen Dienste verlangen. Die ganzen Tokens, die nun im ICO-Verfahren verkauft werden, sind meist furchtbar zentral. Selbst wenn die ausgebende Firma ihre Krypto-Einheit nicht völlig selbst in Eigenregie minen will, obliegt ihr die volle Kontrolle darüber, wie Geld in das System fließt, welche Preise sie setzt und wer zu welchen Bedingungen an eventuellen Umsätzen beteiligt wird. (Da es eigentlich fast nirgends echte Umsätze gibt, ist die Frage erst mal nur von theoretischer Bedeutung.)

Dezentralität bedeutet auch generell nicht, dass die Macht eines Systems automatisch in die Hände der vielen übergeht. Nein. Für den einzelnen ohne Macht hat Dezentralität viele Nachteile. Wer jemals einen Joint mit Bitcoins gekauft hat, kann sich mittlerweile ziemlich sicher sein, dass eine staatliche Stelle darüber Bescheid wissen kann. Dezentralität verhindert schnelle Updates, und die Sicherheitslücken müssen die Nutzer als erstes ausbaden. Dezentralität gibt den Leuten viel Macht, die die Imperfektionen des Ist-Zustands ausnutzen und die große Mehrheit übervorteilen wollen. (Simples Beispiel: E-Mail-Spam.)

Dezentralität alleine bietet auch keine Sicherheit. Wer gerne im dezentralen Internet Relay Chat unterwegs ist, weiß dass die Komplikationen doch um einiges höher sind als bei WhatsApp. Und von einer End-zu-End-Verschlüsselung kann man nur träumen. (Bei XMPP kann sie funktionieren, es ist aber eine Heidenarbeit.)

Dezentralität setzt meist auch eine Zentralität voraus. Jeder muss sich strikt an ein Protokoll halten, damit auch jeder Knoten in dem weiten Netz die selben Daten auf die selbe Weise interpretieren kann. Wenn zum Beispiel Philippe davon fantasiert, dass die Blockchain zentrale Institutionen im Bildungsbereich überflüssig machen kann, ist er auf dem Holzweg. Eine Dezentralität setzt sogar eine im Bildungsbereich bisher unbekannte Zentralität voraus. Wenn Bildungsabschlüsse auf der ganzen Welt in eine gemeinsame Datenbank eingespeist werden sollen, dann muss auch die ganze Welt einig sein, wann eine Prüfung bestanden ist und wann nicht. Und welche Inhalte zu jedem Abschluss gehören. Wenn das nicht gegeben ist, kann auch die Blockchain nichts ändern.

Dezentralität ist wichtig, sie ist die Grundlage des World Wide Web, des Internets. Damit sie funktioniert, darf man sie aber nicht nur als Hype, als selbst erfüllenden Slogan begreifen. Dezentralität ist viel Arbeit. Und wenn niemand wirklich ihre Notwendigkeit versteht, bleibt sie halt unerledigt. Oder man überlässt es Google, Flash abzuschaffen und Verschlüsselung durchzusetzen. Aber ich schweife ab…

Blockchains können lügen

Einer der anderen großen Marketing-Slogans der Blockchain-Gemeinde heißt: Vertrauen. Was in der Blockchain abgespeichert ist, ist mathematisch so gesichert, dass sich auch Leute darauf verlassen können, die nie voneinander gehört haben. Oder noch besser: Leute können einander vertrauen, wenn sie schon eine Menge voneinander gehört haben und dem anderen aus guten Gründen keinen Gebrauchtwagen abkaufen würden. Denn die Mathematik ersetzt das Vertrauen.

Das mag für Bitcoins einigermaßen zutreffen. Aber halt nur deshalb, weil hier schlichtweg abstrakte Zahlen anderen abstrakten Zahlen zugeordnet werden. So lange man nur dies erreichen will, ist die Blockchain wohl ein gutes Prinzip.

Doch man muss sich auch die Grenzen des Konzepts vergegenwärtigen. Zwar ist bisher ziemlich sicher, dass ein Betrag X von Konto A auf Konto B überwiesen wird. Das Konto B kann aber per Hack rückstandslos leergeräumt werden. Oder durch einen Dienstleister, der mal eben pleite macht. Oder durch eine Festplatte, die auf der Müllkippe landet. Sobald man sichergehen will, dass ein Betrag X nicht mehr nur dem abstrakten Konto B, sondern einer bestimmten Person zu Gute kommt, ist die Blockchain bisher nicht sonderlich erfolgreich.

Steve Wozniak beschwerte sich zum Beispiel gerade, dass ihm Bitcoins gestohlen wurden. Jemand kaufte ihm die Bitcoins ab, die genutzte Kreditkarte war jedoch gestohlen. Die Blockchain hat den Kauf final registriert, die Kreditkartenfirma jedoch nicht. Ergebnis: Wozniak ist sein Geld los. Und er hat auch keine Aussicht darauf, das Geld zurückzubekommen, obwohl die Beute für jedermann sichtbar in der Blockchain ausliegt.

Dieses Problem ist nicht unbedingt spezifisch für eine Blockchain: Datenbanken vermerken nur, was man in sie eingibt. Wenn jemand bei der Eingabe lügt oder sich auch nur irrtümlich vertippt, dann kann die Datenbank nichts dafür. Die Blockchain verhindert aber recht effektiv, dass Fehler nachträglich korrigiert werden könnten.

Kurzum: Um die dezentrale Technik Blockchain nutzbar zu machen, muss man in den allermeisten Fällen so viel Zentralität voraussetzen, dass das Abspeichern in der Blockchain eh keinen Unterschied mehr macht. Man kann dann auch jede andere Datenbank einsetzen und das Ergebnis ist billiger, verlässlicher und weniger missbrauchsanfällig.

Mit der Verbreitung von „Smart contracts“ wird das Ganze noch schlimmer. Denn die Leute, die diese neuen Super-Verträge schreiben sollen, scheitern heute wahrscheinlich schon mit PHP. Und hier wie da werden Fehler ignoriert, bis es zu spät ist.

Blockchains sind kein Super-Kopierschutz

Auch diese Idee ist mittlerweile erstaunlich populär: Blockchains retten den Urheber. Dank der neuen Technik kann nun endlich Wissen sicher gehandelt werden. So hat zum Beispiel die Bundesregierung eine Studie ausgeschrieben, die die Blockchain als Grundprinzip eines Wissen-Marktplatzes erkunden soll.

Manche versuchen per Blockchain schon wieder eine art Leistungsschutzrecht zu etablieren. So schreibt die „Welt“.

Das Prinzip Blockchain dürfte das Internet grundlegend verändern. Heute können digitale Wirtschaftsgüter wie etwa Musikstücke beinahe mühelos kopiert und verteilt werden. In der Blockchain-Welt geht das nicht mehr. Alle Transaktionen werden in einem Kassenbuch abgespeichert – und dann Zeile für Zeile verschlüsselt und dabei mit den vorigen Daten verkettet. Dadurch sind einmal geschriebene Daten nicht mehr veränderbar.

Wir könnten Steuergeld sparen, wenn die Bundesregierung einfach diese Antwort akzeptierte.

Nein. Neinneinnein. Nein. Nein! NEIN! Nein. Nein. Neinneinnein. Nein. NEIN! Und: Nein.

Zum einen: Mein Broterwerb besteht daraus, urheberrechtsgeschützte Texte zu produzieren. Es kommt ganz, ganz selten vor, dass ein Urheberrechtsstreit daran scheitert, dass jemand das Entstehungsdatum eines Inhalts nicht hinreichend dokumentieren kann. Die Blockchain ist hier eine Lösung für ein Problem, dass es in der Praxis eigentlich nicht gibt.

Zum zweiten: Blockchains setzen Offenlegungen voraus. Wenn alle Geschäfte mit urheberrechtlich geschützten Material in einer öffentlich zugänglichen Plattform liegen, dann kann auch jeder sehen, welche Zwischenhändler wie viel einsteckt. Ich glaube nicht, dass dies im Sinne der Zwischenhändler ist – und in dem Fall würden sie einfach nicht mitmachen. Und falls doch: Durch die prominente Veröffentlichung numerischer Werte ohne Kontext würde das Apple-Problem verstärkt: Seit Steve Jobs beschlossen hat, im App-Store 30 Prozent Provision zu nehmen, will niemand anders weniger als 30 Prozent nehmen.

Zum dritten: Wenn man Inhalte erst registrieren muss, um Urheberrechtsschutz zu genießen, dann wird eine Menge Material nicht mehr geschützt werden, weil der Aufwand doch immer beträchtlich ist.

Zum vierten: Die Tauglichkeit der Blockchain als Kopierschutz hängt an einer simplen Tatsache: Sie ist kein Kopierschutz. Zwar könnte man zum Beispiel eine DVD-Ausgabe der Titanic auslesen und in der Bitcoin-Blockchain abspeichern. Das Problem daran ist: Jeder kann auf diese Weise den Film auslesen und den Rest der Blockchain ignorieren. Statt Raubkopien zu verhindern, liefert die Blockchain jedem Interessierten die Daten frei Haus. Zudem: Wer soll all den Kram auf Tausenden von Nodes abspeichern wollen?

Theoretisch kann man sicher ein System erdenken, dass auf jedem Blu-Ray-Player und jeder Streaming-Box installiert wird, und das Inhalte erst abspielen will, wenn eine Zahlung auf irgendeiner Blockchain registriert ist. Stattdessen kann man aber auch jeden anderen Kopierschutz nehmen, der viel einfacher zu installieren, zu updaten, zu kontrollieren ist. Hier gilt wie so oft: Wenn man es mal geschafft hat, die Blockchain zum Laufen zu bekommen, ist sie wahrscheinlich allen anderen etablierten Lösungen unterlegen.

Veröffentlicht am

Das finale Update

„Guten Tag“
„Hallo?“
„Wir sind von dem Bundesamt für Sicherheit in der Informationstechnik. Wir wollen mit Ihnen über ihren Router sprechen.“
„Meinen was?“ 
„Router. Oder sagen Sie ‚Rauter‘?“
„Ich habe keine Ahnung…“
„Der Plastikkasten zwischen Telefondose und Computer.“
„Ach so. Das Ding. Was ist denn mit dem los?“
„Nun — ihr Router…ihr Ding ist zu alt. Keine Sicherheitsupdates mehr. Dürfen wir rein?“
„Ich hab nicht aufgeräumt.“ 
„Kein Problem, kein Problem. Sehen Sie mein Kollege hat den Router schon gefunden.“
„Ja. Und nun?“
„Nun werden wir ein Sicherheitsupdate vornehmen.“
„Mit einem Hammer?“
„Natürlich. Wie auch sonst? Meinen sie, F-Link würde für das alte Ding noch Updates herausgeben?“
(Aus dem Flur hört man, wie Plastikgehäuse und Platine mit einigen wuchtigen Schlägen zermalmt werden.)
„Hey, Sie können doch nicht!“
„Doch wir können. Sie sind nun sicher.“
„Aber ich komme doch jetzt nicht mehr ins Internet.“
„Stimmt. Wir nennen es das Enzensberger-Update. Sie können sich nun einen neuen Router kaufen und kommen wieder ins Internet.“
„Na hören sie mal!“
„Gern geschehen. Wir kommen dann in fünf Jahren nochmal vorbei. Und immer dran denken: Surfen Sie sicher!“
„Ja, Sie mich auch.“

Veröffentlicht am

Passwort-Aberglauben

Grade eben habe ich einen Zugang zum Pressebereich einer großen Organisation geändert. Die Anforderungen an das neue Passwort:

Das neue Passwort muss mindestens acht Zeichen lang sein und mindestens einen Buchstaben, ein Sonderzeichen !§%/()=?+*#-_.:,;| und eine Ziffer (0-9) enthalten. Groß- und Kleinbuchstaben (A-Z, a-z) sind erlaubt, Leerzeichen nicht.

Was wird damit erreicht? Das Passwort ist ein bisschen schwerer durch Wörterbuchattacken zu erraten, bei denen schlichtweg alle Passworte durchprobiert werden. Es wird jedoch wesentlich schwerer für den Nutzer, sich das Passwort zu merken. Gerade der Ausschluss von Leerzeichen ist widersinnig – so verhindert man effektiv, dass jemand einen für sich einfach zu merkenden Satz als Passwort wählt.

xkcd dazu:

xkcd

Veröffentlicht am

Mädchenname der Mutter? König Alfons der Viertelvorzwölfte

Ein Amerikaner ist in zahlreiche Email-Accounts von Prominenten eingestiegen und hat die Inhalte der Nachrichten von dort systematisch verkauft. Wie war ihm das möglich? Ganz einfach:

Zur Schuldanerkennung im März hatte Christopher Chaney zugegeben, mindestens elf Monate lang wiederholt in Mail-Accounts eingebrochen zu sein. Dafür hatte er die Funktion „Kennwort vergessen“ von Webmailern benutzt, deren Sicherheitsfragen er anhand öffentlich bekannter Daten beantwortete.

Die Mail-Anbieter tragen hier in meinen Augen eine deutliche Mitschuld. Denn sie lassen ihre Kunden eine so genannte Sicherheitsfrage ausfüllen, mit denen sie auf ihr Konto zugreifen können, wenn sie — Mal wieder — ihr Kennwort vergessen haben. Dazu bieten die meisten Anbieter nur Fragen an, die entweder leicht nachzurecherchieren oder einfach zu erraten sind. „Wie lautet der Mädchenname ihrer Mutter?“ öffnet das E-Mail-Konto selbst bei unbekannten Personen für Hunderte Verwandte und Bekannte, die diesen simplen Fakt kennen. „Wie hieß ihr erstes Haustier“ oder gar „Was ist ihre Lieblingsfarbe?“ sind so einfach zu erraten, dass man eigentlich das E-Mail-Passwort löschen könnte. Sie wollen alle E-Mails unserer Kunden lesen? Nur zu!

Der einzige Grund dafür: Die Anbieter der Services wollen keinen Support leisten. Wenn der Kunde ein Passwort vergisst, soll er um Gottes Willen nicht anrufen und irgendeine manuelle Aktion verlangen. Oder gar komplizierte Verifikationsprozesse in Gang setzen, die in der Heimat vieler dieser Konzerne sowieso absurd wären, weil die USA nun einmal kein funktionierendes Meldewesen haben.

Die einzige Möglichkeit bei solche Fragen nicht automatisch sein Postfach zu öffnen: Kreative Antworten. Mädchenname der Mutter? König Alfons der Viertelvorzwölfte. Name des Haustiers? Ihr seid solche Sicherheits-Versager!

Veröffentlicht am

Warum der Internet-Alarmknopf dämlich ist

Es gibt Momente, da rollen sich die Zehennägel. Heute hatte ich zwei davon. Über den einen habe ich schon geschrieben, der zweite ereignete sich zur Tagesschau. Denn tatsächlich hat es der Bund der Kriminalbeamten geschafft, seinen uralten Vorschlag eines Internetalarmknopfes mit Oslo zu verbinden und damit ist die Hauptnachrichtensendung zu kommen.

Sehen wir uns den Vorschlag kurz an:

Wer im Internet rechtsradikale Inhalte, islamistisches Gedankengut oder Hinweise auf einen Amoklauf entdecke, müsse die Seite einfrieren und an eine Alarmzentrale weiterleiten können, sagte der Chef des Bundes Deutscher Kriminalbeamter (BDK), Klaus Jansen, der „Neuen Osnabrücker Zeitung“. Ein in Echtzeit übermittelter Notruf im Netz sei schneller und effektiver als ein Anruf bei der örtlichen Dienststelle, die damit unter Umständen wenig anzufangen wisse.

Der kurze Draht zur Notrufzentrale lasse sich ohne viel Aufwand mit einer datenschutzrechtlich geprüften Software auf dem eigenen Rechner installieren, erklärte Jansen. Eingehen solle der Netzalarm „bei einer nationalen Zentrale, die rund um die Uhr mit speziell geschulten Polizisten, Soziologen oder Psychologen besetzt ist“.

Warum finde ich das so dämlich? Beweissicherung und schnelle Weiterleitung an Fachleute ist doch sicher richtig, nicht?

NEIN!

Einige der Gründe:

  • Eine datenschutzrechtlich geprüfte Software? Das soll wohl bedeuten, dass die Menschen, die auf den Alarmbutton klicken nichts zu befürchten haben. Das ist jedoch reiner Blödsinn. Denn natürlich fallen bei einer solchen Software Daten an, mit denen der Absender ermittelt werden kann. Das ist schlichtweg nicht zu vermeiden — erst recht nicht, wenn man die Bilanz staatlicher IT-Projekte der letzten Jahre ansieht. Und zweitens macht man sich mit der Erstellung von Kopien bestimmter Inhalte — wie die immer wieder zitierte Kinderpornografie — strafbar. Der Polizei bleibt nichts andere übrig als in ernsten Fällen den Tippgeber zu ermitteln. Die vermeintliche Anonymität gilt also nur, solange sich niemand für die Identität interessiert.
  • Der vermeintliche Datenschutz hat auch einen anderen Hintergrund. Es sollen natürlich nicht nur Straftaten gemeldet werden, sondern abweichendes Verhalten, Anzeichen, Verdachtsmomente. Polizisten, die Informationen über per se nicht-strafbares Verhalten sammeln — das ist keine gute Idee.
  • Was soll man denn da klicken? Der Attentäter von Oslo hat ganz kurz vor der Tat ein Manifest verschickt, das zum großen Teil aus den Beiträgen von Rechtspopulisten bestand. Was hätte ein Psychologe daraus machen sollen? Hätte er auf Seite 647 angelangt die Schlussfolgerung gezogen: das ist ernst, wir müssen handeln! — es wäre zu spät gewesen. Vor allem: was soll er in der Cyber-Zentrale irgendwo im Bundesgebiet tun? Im Erfolgsfall kann die Polizei später aus einer Million Hinweisen den heraussuchen, der dann doch ernst genommen werden musste.
  • Eine Zentrale kann keine Kompetenz in der Fläche ersetzen. Wenn die örtliche Polizei nicht mit URLs umgehen kann, ist das ein Fehler, der dort angegangen werden muss. Wenn Beamten kein Internetanschluss zur Verfügung steht, ist die Lösung nicht, dass man sie umgeht. Man muss ihnen Rechner und Kompetenzen geben. Man stelle sich vor, das Wirtschaftsdezernat könnte noch nicht mit Euro umgehen oder würde Ermittlungen einstellen, weil ein Beamter nicht weiß, wie ein Schweizer Franken aussieht. Es spricht nichts dagegen, einen Bürger an ein Fachkommissariat weiterzuleiten. Aber ihn auf eine obskure Internet-Zentrale umzuleiten, ist nicht nur verfassungsrechtlich bedenklich — es ist dumm. Denn natürlich fehlt der Berliner Zentrale das lokale Wissen, um die Hinweise wirkungsvoll zu bearbeiten.
  • Es gibt sooooo viel Bullshit, Verrückte, Verzweifelte, Arschlöcher. Wenn ich jedem hinterher recherchieren würde, der sich bei mir oder den Redaktionen, für die ich arbeite, meldet — ich könnte nichts anderes mehr tun. Ein Browser-Button, den jeder bedienen kann — was da ankommt, dürfte ein Sittengemälde der düstersten Art sein. Viele Menschen können einen andere Meinung nicht von einer Straftat unterscheiden. Und Hass alleine ist keine Straftat.
  • Ein Screenshot hat keinerlei Beweiskraft. Ein Browserfenster zu erzeugen, in dem Klaus Jansen einen Selbstmordanschlag mit Erdhörchen-Bomben ankündigt, kostet mich keine zwei Minuten. Zudem: Es mag sich noch nicht überall herumgesprochen haben: Aber das Internet ist nicht durchweg identisch mit einem Browser-Fenster. Ich hab auch Mal eine Selbstmorddrohung im IRC erhalten.
  • Zum 100. Geburtstag von McLuhan schallt zwar der Satz „The medium is the message“ von allen Häuserwänden — aber wieso sollte ich eine Bedrohung anders behandeln, je nachdem ob ich sie in der Kneipe, im Schützenverein, per Telefon oder auf Facebook gelesen habe. Wenn nicht Mal die Mülltrennung vernünftig funktioniert — woher nehmen die Kriminalbeamten die Hoffnung, dass Anzeigen per Medium sortiert werden können und schließlich im Staatsapparat wieder korrekt zusammengeführt werden?