Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 18 2014

January 24 2014

Rüdiger Weis: Wer unverschlüsselt kommuniziert, kann seine Daten auch gleich an die Geheimdienste schicken

Rüdiger Weis, Professor für Informatik an der Beuth-Hochschule Berlin, spricht im iRights.info-Interview über Kryptographie, die Reaktionen von Internetdiensten und Politik auf die Überwachungsenthüllungen – und darüber, wie jeder mit freier Software für mehr Datensicherheit sorgen kann.

Der Journalist Glenn Greenwald zog in einer Anhörung des Europäischen Parlaments im Dezember folgendes Fazit über die Enthüllungen aus dem Fundus von Edward Snowden: Die Überwachungsprogramme der NSA und seines britischen Partners GCHQ liefen – ohne Übertreibung – darauf hinaus, dass es bei elektronischer Kommunikation schlechthin keine Privatsphäre mehr geben solle.

Für Internet-Dienste – ob E-Mail-Anbieter oder Cloud-Provider – gehen die Enthüllungen auch mit einem Vertrauensverlust einher. Viele Anbieter haben darauf unter anderem damit reagiert, internen Datenverkehr zwischen den Rechenzentren oder den Transport von E-Mails zu verschlüsseln.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin und leitet die Arbeitsgruppe Cryptolabs in Amsterdam. Er ist Mitglied des Chaos Computer Clubs und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin. Er leitet die Cryptolabs in Amsterdam, ist Mitglied im Chaos Computer Club und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA

Rüdiger Weis, Professor für Informatik und Krytographie-Experte sieht das mit gemischten Gefühlen: Einerseits sei es ein Schritt in die richtige Richtung – andererseits zeige es, wie unverantwortlich die Unternehmen bislang mit Nutzerdaten umgegangen seien und selbst geringen Aufwand scheuten, die Daten der Nutzer zu schützen. Die Industrie sei aber dabei, bei der Datensicherheit umzudenken.

Freie Software zum Verschlüsseln für jeden

„Sicherheit ist immer mit Arbeit verbunden“, räumt Weis ein. Die gute Nachricht aber liege darin, dass für jeden Nutzer Möglichkeiten bereit stehen, selbst für mehr Sicherheit zu sorgen. Mit relativ geringem Aufwand einsetzen lassen sich etwa:

Mehr Aufwand erfordert Ende-zu-Ende-Verschlüsselung mit OpenPGP, die nicht nur den Transport, sondern auch die Inhalte von E-Mails verschlüsselt. Ähnlich ist es mit der Anonymisierungssoftware Tor, die den Datenverkehr über mehrere Ecken schickt. Weil all das freie Softwareprodukte sind, kann man nicht nur die Sicherheit öffentlich überprüfen, sie sind auch kostenlos.

Abschalten sollte man dagegen Verschlüsselungsverfahren, die als gebrochen gelten können, rät Weis. Dazu gehört das Verfahren RC4, das beispielsweise bei gesicherten HTTPS-Verbindungen zum Online-Banking eingesetzt wird. Microsoft etwa hat es bereits weitgehend abgeschaltet, man kann es aber auch selbst im Browser deaktivieren.

„Schengen-Cloud“ und Kryptographie in der digitalen Gesellschaft

Für die Pläne zu einem deutschen oder europäischen Datenverkehr („Schengen-Cloud“) hat Weis ebenso Verständnis wie Unverständnis: Wenn etwa Unternehmen in Deutschland sich vor Wirtschaftsspionage durch den US-Geheimdienst schützen wollen, sei das berechtigt und verständlich. Die Situation in Europa sei aber nicht viel besser, wenn auch der britische Geheimdienst den Datenverkehr umfassend ablausche und mit der Vorratsdatenspeicherung eine „Komplettüberwachung” der Bürger geplant werde.

Kryptographie ist für Weis nicht nur ein Mittel für den Schutz des Einzelnen, sondern hat gesesellschaftspolitische Bedeutung. Er denkt dabei etwa an gesicherte Online-Wahlen, aber auch an digitale Währungen wie Bitcoin. Die Entwicklung digitaler Währungen zeige jedoch ebenso, wie Bürger sich dort vom Staat abwenden und ihm Loyalität entziehen können, wo es um seine Kernaufgaben geht. Wenn Staaten die Bürger nur mehr als Gefahrenquelle ansehen, werde diese Tendenz der Abwendung noch weiter gestärkt, warnt Weis.

January 04 2014

Seda Gürses: Bei der Privatsphäre darf es keine Zweiklassengesellschaft geben

Technologien wie Tor und Verschlüsselung für Mails bleiben trotz der Angriffe der NSA darauf wichtige taktische Werkzeuge, sagt die Informatikerin und Privacy-Expertin Seda Gürses im iRights.info-Interview. Es komme aber darauf an, dass die Technologien nicht nur für einige, sondern für alle Nutzer zugänglich werden.

iRights.info: Wir haben schon letztes Jahr miteinander gesprochen – hauptsächlich über soziale Netzwerke und Datenschutz. Welche Entwicklungen gab es in diesem Jahr?

Seda Gürses: Soziale Netzwerke waren­ auch in diesem Jahr Thema, aber ich würde den Schwerpunkt diesmal woanders setzen, nämlich darauf, wer kon­trolliert, was gezeigt wird und was nicht. Das ist meiner Meinung nach auch ein Teil von privacy im Sinne von informationeller Selbstbestimmung.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit und Überwachung, und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit, Überwachung und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Vor allem Facebook scheint Probleme mit politischen Inhalten zu haben. Bei den Protesten in der Türkei seit Ende Mai war zu sehen, dass Facebook irgendwann Zensur ausgeübt und bestimmte Inhalte nicht mehr gezeigt hat. Wir haben mit Richard Allen („Director of Policy“ bei Facebook, Anm. der Red.) gesprochen, der bestätigt hat, dass Face­book kurdische Seiten zensiert hat. Er sagte, dass geschehe bei Seiten, die die PKK und Terroristengruppen unterstützt haben.

Ich habe mit einigen dieser Gruppen gesprochen. Sie hätten zum Beispiel nur über Unabhängigkeitsbewegungen in Syrien berichtet, die kurdische Wurzeln hatten – das wurde dann von Facebook gelöscht. Zensiert wurden nicht nur Postings, sondern ganze Seiten und Gruppen. Die Maßstäbe von Facebook waren teilweise härter als die der türkischen Regierung.

iRights.info: Was waren die Folgen dieser Löschungen?

Seda Gürses: Besonders Bürgerjournalismus-Projekte verloren teilweise ihre Arbeit von Monaten, weil sie Facebook als Archiv nutzten. Das ist vielleicht nicht sehr schlau gewesen, dass sie das auf Facebook gemacht haben, aber es fehlten ihnen die Ressourcen, eigene Server aufzusetzen.

iRights.info: Wie kam Facebook dazu, diese Gruppen zu zensieren? Und wie sah es bei den anderen Netzwerken aus?

Seda Gürses: Es gab Gerüchte, dass Facebook mit der türkischen Regierung zusammengearbeitet hätte. Ich habe nachgefragt und Face­book hat das bestritten. Andererseits gaben Offizielle des Staates in den türkischen Medien zu, sie hätten mit Facebook zusammengearbeitet. Das ist schon etwas merkwürdig. Angeblich schickten sie auch Leute zu Twitter, hätten dort aber wenig Erfolg gehabt.

iRights.info: Edward Snowden und PRISM, die Überwachung durch die NSA ist wahrscheinlich das wichtigste Thema in diesem Jahr in der netzpolischen Diskussion. Welche Konsequenzen hat das für die Privacy-Debatte?

Seda Gürses: Es macht den Leuten bewusst, was mit diesen Technologien möglich ist. Privacy ist nicht nur ein Problem zwischenmenschlicher Beziehungen – also zum Beispiel, dass meine Mutter nicht erfahren soll, dass ich schwul bin. Es ist nicht nur ein Konsumentenproblem, also dass mein Konsumverhalten getrackt wird und ich vielleicht von Firmen diskriminiert werde. Das, was wir jetzt sehen, ist, dass diese Firmen – manchmal freiwillig, manchmal gegen ihren Willen – Teil eines riesigen Überwachungsprogramms sind.

Viele Leute schauen jetzt zum Beispiel mit größeren Fragezeichen auf Klarnamen-Policies, also die Forderung von Webservice-Anbietern, sich mit dem eigenen, richtigen Namen anzumelden. Für politische Aktivisten in vielen Ländern war das schon lange ein Problem.

Ich hoffe außerdem, dass diese komische Unterscheidung zwischen sogenannten zivilisierten Ländern und den Ländern mit autoritären Regimen aufweicht, jetzt wo wir sehen, dass die westlichen Länder nicht nur Überwachungstechnologien in andere Länder exportieren, sondern im gleichen Maße ihre eigenen Bürger überwachen.

iRights.info: Sollten wir jetzt alle unsere Kommunikation verschlüsseln, anonym mit Tor surfen und PGP-Verschlüsselung für unsere E-Mails nutzen?

Seda Gürses: Grundsätzlich ist das nicht falsch. Wir müssen daran arbeiten, solche taktischen Werkzeuge, die ein bisschen mehr Schutz gegen Überwachung bieten, zu unterstützen. Aber wir müssen auch drauf achten, dass es keine Zweiklassengesellschaft gibt, in der manche Leute Zugang zu Technologien erhalten, die Überwachung zu vermindern, und andere gar nicht. Die Technologien müssen zugänglicher werden, um sie effektiv benutzen zu können.

Es ist nicht klar, ob Tor es zum Beispiel aushalten würde, wenn es alle Nutzer gleichzeitig benutzten. Das ist eine Kapazitätsfrage. Es gibt mathematische Modelle, die besagen, dass wenn viele Leute auf der Welt Tor benutzen, die Verteilung der unterschiedlichen Verbindungen zwischen ihnen es erlauben würde, herauszufinden, wer mit wem kommuniziert. Dazu sollte es nicht kommen und deshalb besteht weiterhin Entwicklungsbedarf.

iRights.info: Sind denn die üblichen Verschlüsselungstechniken wirklich sicher? Kann die NSA nicht doch mitlesen?

Seda Gürses: Nein, so einfach ist es nicht. Die meisten Kryptografen sagen, dass die NSA die Verschlüsselungen selbst nicht geknackt hat, sondern die Schwachstellen in der Umgebung darum ausnutzt. Die meisten Verschlüsselungstechniken sind, soweit wir wissen, mathematisch gesehen in Ordnung. Aber Kryptografie ist nicht nur Mathematik. Sie muss implementiert werden. Um die Implementierung global zugänglich zu machen, muss es irgendeine Standardorganisation oder zumindest eine Verständigung geben, an die sich alle halten, und hier setzt die NSA an.

Mit Kryptografie verschiebt man das Problem der Geheimhaltung der Inhalte auf die Geheimhaltung der Schlüssel. Bei einer Verschlüsselung verschlüsselt man die Information, die man schützen möchte, mit einem kryptografischen Schlüssel und versteckt diesen anschließend. Das Problem ist also: Wer hat diesen Schlüssel? Und wer hat Zugang dazu? Wir wissen, dass die NSA Personen oder Firmen dazu gezwungen hat, ihre Schlüssel herzugeben. Zum Beispiel die Firma Lavabit, die verschlüsselte Webmail-Zugänge angeboten hat.

Das kryptografische Verfahren an sich wurde nicht gebrochen. Lavabit war sicher nicht die einzige Firma, die ihre Schlüssel hergeben musste, nur normalerweise dürfen diese nicht darüber sprechen. Der Betreiber von Lavabit, Ladar Levison, hat sich dafür entschieden, an die Öffentlichkeit zu gehen und den Service einzustellen, weil er wusste, dass er die Sicherheit der Nutzer nicht ausreichend gewährleisten konnte, wobei auch er keine Details verraten durfte.

iRights.info: Ist das auch bei den SSL-Verschlüsselungen passiert? Das ist die Verschlüsselung, die die auf Webseiten benutzt wird, zum Beispiel beim Online-Banking. Das erkennt man anhand des klei­nen Schlosses in der Adresszeile des Webbrowsers.

Seda Gürses: Genau. Die Geheimschlüssel sind bei den Anbietern, und wenn sie die hergeben, hat das genau den beschriebenen Effekt.

iRights.info: Was bedeutet das für mich als Nutzer? Was soll ich tun?

Seda Gürses: Sich mehr mit Verschlüsselung auseinanderzusetzen, ist auf jeden Fall gut. Wenn zum Beispiel nur die Menschen, die etwas zu verstecken haben, Verschlüsselungen benutzen, werden sie automatisch verdächtigt, auch ohne dass die Nachrichtendienste die Inhalte ihrer Kommunikation kennen.

Das ist eine Art Solidarität: Man verschlüsselt seine Nachrichten nicht nur in der Hoffnung, dass sie vertraulich bleiben, sondern auch weil man dadurch Personen unterstützt, die wirklich etwas verbergen müssen – aus unterschiedlichsten Gründen, zum Beispiel weil sie Journalisten oder Aktivisten sind, oder einfach weil sie keine Lust haben, dass die Serviceprovider ihre Kommunikation mitlesen.

iRights.info: Wo liegen denn die größten Probleme?

Seda Gürses: Im Augenblick sehe ich diese bei den ganzen mobilen Geräten, die wir ununterbrochen mit uns herumtragen. Die Sicherheit auf Mobiltelefonen ist schlicht eine Katastrophe. Sie sind komplett unter der Kontrolle der Firmen, die die Software und Hardware anbieten. Man kann zwar eigene Betriebssysteme auf das Handy spielen und das hilft auch ein bisschen. Aber sobald man eine App herunterlädt, ergeben sich große Sicherheitslücken. Man muss also entweder Einbußen bei der Funktionalität oder bei der Sicherheit hinnehmen.

iRights.info: Haben die ganzen Cloud-Dienste die Überwachung eigentlich erleichtert und möglich gemacht? Sollten wir mehr auf – verschlüsselte – Festplatten speichern?

Seda Gürses: Das ist schwer zu sagen. Manche Leute aus der Security-Community setzen darauf, dass, wenn wir großflächig auf Cloud-Dienste verzichteten, die Kosten für die Nachrichtendienste steigen würden, auch wenn die Überwachung sicherlich trotzdem stattfinden würde. Auch wenn wir alles verschlüsselten würde das nicht all unsere Probleme lösen, denn wir können auch unseren Rechnern nicht einfach so vertrauen.

Im Prinzip müsste man einen Zweitrechner haben, der nicht ans Internet angeschlossen ist, auf dem man die Daten verschlüsselt. Das ist aber keine Arbeitsweise für Menschen, die noch etwas anderes zu tun haben im Leben oder nur mit ihren mobilen Geräten das Internet nutzen können. Deshalb gibt es auch die Meinung, dass wir das über die Politik regeln müssen, weil es allein über Technologie nicht möglich ist.

Es gibt aber auch die Meinung, dass nun, wo die Überwachungskapazitäten in der Welt sind, irgendjemand sie benutzen wird. Wir werden im kommenden Jahr sehen, in welche Richtung es geht.

iRights.info: Wo sehen Sie die wichtigsten Entwicklungen für die Zukunft?

Seda Gürses: Ich denke, mehr Leute werden sich mit der Sicherheit von mobilen Geräten beschäftigen, und ich hoffe, dass sie Fortschritte machen. Die Sammlung von Information, die im Moment über Mobiltelefone stattfindet, ist erschreckend – zumal sie uns eindeutig identifizieren. Mobiltelefone verraten ständig, wo wir uns bewegen. Ich hoffe, dass sie unsere Geräte werden und nicht die Instrumente von Firmen und Staaten bleiben, wie es sich jetzt herausgestellt hat.

Ich würde mir wünschen, dass die Diskussion über Überwachung und Sicherheit nicht der Logik des Kalten Krieges folgt, sondern dass wir schauen können, was eine solche Überwachung bringt, was sie uns wegnimmt, welche politischen Probleme übrig bleiben. Wir folgen derzeit stark diesem NSA-Blick auf die Welt und vergessen teilweise, dass wir auch andere Probleme haben – auch mit der Technologie – als Konsumenten, als Leute in Institutionen, als Menschen, die miteinander kommunizieren. Ich hoffe, dass wir diese Differenzierung wiederfinden. .

Dieser Text ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können das Heft für 14,90 EUR bei iRights.Media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel bei Amazon*, beim Apple iBook-Store* oder bei Beam (* Affiliate-Link).

December 19 2013

Wie weit darf Big Data gehen?

Körperdaten kündigen früh eine Infektion an. Facebook-Likes verraten den IQ der Nutzer. Big-Data-Analysen versprechen neue Erkenntnisse für Wissenschaft und Wirtschaft. Warum von einer Revolution zu sprechen ist, erläutert der Internetforscher Viktor Mayer-Schönberger im Interview.

iRights.info: In Ihrem Buch beschreiben Sie, wie die Analyse großer Datenmengen aus allen Lebensbereichen bestimmte Zusammenhänge erst sichtbar macht. So weiß etwa die US-Supermarktkette Walmart, dass ein bestimmter Frühstückssnack immer dann besonders nachgefragt wird, wenn ein Unwetter droht. Welche Zusammenhänge haben Sie bei Ihren Recherchen am meisten überrascht?

mayer-schoenberger

Viktor Mayer-Schönberger ist Professor für Internet Governance und -Regulierung am Oxford Internet Institute. Jüngst erschien sein Buch „Big Data. Die Revolution, die unser Leben verändern wird“ (gemeinsam mit Kenneth Cukier, Redline Verlag). Foto: Privat

Viktor Mayer-Schönberger: Besonders eindrücklich fand ich die Arbeiten von Dr. Carolyn McGregor an der Uniklinik in Toronto, die in den Daten der Vitalfunktionen von Frühgeborenen Muster erkennen konnte, die mit hoher Wahrscheinlichkeit eine Infektion vorhersagen, 24 Stunden bevor noch erste Symptome auftreten. Das hilft in Zukunft ganz unmittelbar Menschenleben zu retten.

iRights.info: Die neue Verfügbarkeit von großen Datenmengen und kostengünstiger Analysetechnik machen prinzipiell neuartige Prognosen möglich. Welchen Einfluss haben diese Vorhersagen auf das Wirtschaftsleben und was wäre möglich?

Viktor Mayer-Schönberger: Schon heute erlaubt uns Big Data, menschliches Verhalten relativ gut vorherzusagen. Das ist hilfreich in der Planung und für bessere Entscheidungen. Denn Tatsache ist, dass wir bis zu Big Data viel weniger Daten über unser wirtschaftliches Handeln hatten, als wir glaubten. Bessere Vorhersehbarkeit bedeutet geringeres Risiko – und das wiederum bedeutet geringere Volatilität. Die Märkte wären damit also weniger starken Schwankungen ausgesetzt. Eine Vorhersage der Börsenkurse, worauf manche hoffen, ist freilich in weiter Ferne, denn dazu ist die Vorhersage des Verhaltens sehr vieler Entscheidungsträger notwendig, und das ist auch in absehbarer Zukunft nicht zu stemmen.

iRights.info: Neben ökonomischen Chancen verspricht Big Data Fortschritte für die Allgemeinheit. Wo können die Analysen segensreich sein?

Viktor Mayer-Schönberger: Big Data kann uns in vielen Bereichen nutzen. In der Medizin kann Big Data zum Beispiel helfen, zu einer individualisierten und personalisierten Diagnose und Behandlung zu gelangen, die noch nicht möglich ist – wir nehmen ja heute immer noch die Standard-Dosis von Medikamenten, obwohl jeder Mensch und jeder Krankheitsfall anders ist. In der Bildung können wir mit Big Data die Chance haben, endlich besser zu verstehen, welche Lernmaterialen und Lernwerkzeuge, aber auch Lernkontexte für welche Lerngruppen optimal sind.

iRights.info: Sie betonen, dass Big-Data-Analysen zwar Zusammenhänge aufzeigen, nicht aber über ihre Ursachen Aufschluss geben. Daraus leiten Sie eine „Abwendung von der jahrtausendealten Suche nach kausalen Zusammenhängen“ ab. Umgekehrt ließe sich doch auch argumentieren, die neuen Big-Data-Beobachtungen verleihen der Suche nach ihren Ursachen erst einen neuen Schub…

Viktor Mayer-Schönberger: Beides ist zutreffend. Aber der Kernpunkt ist: Wir müssen nicht mehr für alles Kausalzusammenhänge ermittelt haben, bevor wir daraus Einsichten gewinnen und Handlungsanweisungen ableiten können. Das Online-Versandhaus Amazon muss nicht wissen, warum manche Bücher mir empfohlen werden sollen und andere nicht – es reicht für Amazon, wenn ich relativ häufig aus den mir empfohlenen Büchern welche kaufe. Die Gesundheitsbehörden müssen auch nicht wissen, warum Internetsuchen mit der Verbreitung der Grippe korrelieren – wie Google Flu Trends es gezeigt hat. Es reicht zu wissen, dass anhand der Suchabfragen die Grippeverbreitung vorhergesagt werden kann.

Das ist insofern auch von Vorteil, weil wir in der Vergangenheit oftmals weniger erfolgreich in der Ursachenforschung waren, als wir glaubten, und uns mit Scheinursachen zufrieden gegeben haben. Hier zu verstehen, dass das „Was“ bereits hilfreich ist, und das „Warum“ danach kommen kann, aber nicht immer muss, erlaubt uns auch etwas demütiger zu sein. Es lehrt uns zu akzeptieren, dass wir weniger von der Welt wissen als wir glauben.

Black Box der Big-Data-Prognosen

iRights.info: Nun hat die Wissenschaft schon lange mit statistischen Methoden gearbeitet, um Erkenntnisse zu überprüfen oder erst zu gewinnen. Warum sprechen Sie in Punkto Big Data gleich von einer Revolution und nicht von einer Evolution?

Viktor Mayer-Schönberger: Weil bisher das Sammeln und Auswerten von Daten sehr zeitaufwändig und kostenintensiv war, und wir deshalb all unsere Mechanismen und Institutionen, unsere Verfahren, darauf ausgelegt haben, Antworten auf unsere Fragen aus der geringstmöglichen Menge an Daten zu gewinnen. Das bedeutet aber auch, dass wir nur jene Fragen beantworten konnten, die uns schon vor der Sammlung der Daten bekannt waren. Stehen hingegen nahezu alle Daten eines Phänomens zur Verfügung, können wir damit auch Fragen beantworten, die bei Sammlung noch gar nicht offenkundig waren.

Das ist tatsächlich ein anderer Ansatz. Es werden nicht mehr basierend auf einer Theorie Hypothesen erdacht und dann mit Daten geprüft. Hypothesen können jetzt parametrisch generiert und getestet werden. Statt also bloß eine bestimmte Hypothese zu bestätigen,  können wir aus einer großen Menge an Hypothesen die optimale finden.

iRights.info: Nun gibt es Zusammenhänge in den Daten, die intuitiv Unwohlsein hervorrufen. So ergibt etwa eine britische Untersuchung von „Gefällt mir“-Angaben auf Facebook: Fans der Motorradmarke Harley Davidson weisen eher einen niedrigeren IQ auf. Besteht die Gefahr, dass unser digitales Profil uns stigmatisiert und schließlich dazu genutzt wird, uns zu diskriminieren?

Viktor Mayer-Schönberger: Ja, diese Gefahr besteht – insbesondere wenn dank Big Data die Analyse genauer wird und damit nicht mehr so leicht vom Tisch gewischt werden kann. Es bedarf klarer gesetzlicher und gesellschaftlicher Rahmenbedingungen, wie weit Big Data gehen darf, und für welche Zwecke eine Anwendung nicht oder nur unter ganz bestimmten Bedingungen zulässig ist.

iRights.info: Was ist, wenn wir gar nicht bemerken, wie sich Algorithmen auf Entscheidungen auswirken. Vielleicht wundern wir uns irgendwann: „Warum bekomme ich keinen Kredit?“ Oder: „Warum lädt mich niemand zum Vorstellungsgespräch ein?“ Muss der Einsatz von Big-Data-Erkenntnissen in sensiblen Lebensbereichen transparent gemacht werden?

Viktor Mayer-Schönberger: Ja, es muss mehr Transparenz geben – wobei wir selbst als Betroffene mit der formalen Transparenz nicht viel anfangen können werden, weil die Zusammenhänge zu komplex sind. Dafür brauchen wir eine eigene neue Gruppe an Experten – die Algorithmiker – die diese Black Box der Big-Data-Prognosen für Betroffene öffnen können, um die Vorhersage in ihrem Namen einer Überprüfung zuzuführen.

„Wir verstecken uns heute schon”

iRights.info: Big Data kann helfen, die Lebensrisiken des Einzelnen besser einzuschätzen – etwa die Wahrscheinlichkeit eines Autounfalls, einer Sucht oder einer Krebs-Erkrankung. Versicherungskonzerne könnten diese Erkenntnisse nutzen und bei höheren Risiken höhere Prämien verlangen. Gerät so das Solidaritätsprinzip von Versicherungen in Gefahr?

Viktor Mayer-Schönberger: Das ist eine konkrete Gefahr. Auch hier müssen wir wohl gesetzliche Maßnahmen ergreifen, die es Versicherungen verbieten, mittels Big-Data-Analyse zwischen den einzelnen Menschen zu differenzieren.

iRights.info: Denkbar wäre auch, dass Menschen auf ihren Datenschatten besser Acht geben, weil sie die Analyse fürchten. Um nicht „dumm“ zu wirken, könnten sie eben auf den „Like“ der Motorradmarke Harley Davidson verzichten – um in diesem einfachen Beispiel zu bleiben. Führen die Big-Data-Analysen bald zur Unfreiheit des Einzelnen, zum großen Versteckspiel vor den Maschinen?

Viktor Mayer-Schönberger: Wir verstecken uns heute schon ganz regelmäßig – nicht vor der Maschine, sondern vor den anderen. Menschen schauen links und rechts, ob jemand sie beobachtet, bevor sie ein Stück Papiermüll einfach auf den Boden fallen lassen. Das Versteckspiel ist also uralt und geht natürlich auch in Zukunft weiter. Wer auf die Ergebnisse einer Big-Data-Analyse vertrauen möchte, sollte deshalb zusehen, dass dafür nur „Honest Signals“ verwendet wurden, also Signale, die zu fälschen aufwändig ist.

iRights.info: Das Sammeln von Daten ist auch eine große Wette auf die Zukunft. Google und Facebook könnten dank ihrer datenbasierten Prognose-Fähigkeiten irgendwann sagen: Jetzt steigen wir in den Aktienhandel ein oder in die Personalvermittlung. Muss der Staat die großen Daten-Sammler von heute präventiv regulieren, damit sie nicht zu Monoplisten in allen möglichen Geschäftsfeldern aufsteigen?

Viktor Mayer-Schönberger: Ja, das muss er – nicht primär wegen der Datenmonopole, obwohl es auch diese zu vermeiden gilt, sondern um zu verhindern, dass Big-Data-Infrastrukturen geschaffen werden, die nur unter großem Aufwand rückgebaut werden können. Denken Sie an die Datencenter der NSA.

iRights.info: Setzt mit dem NSA-Skandal nun das große Nachdenken über Big Data ein?

Viktor Mayer-Schönberger: Das hoffe ich – auch wenn die NSA nur die Spitze des Eisbergs ist. Mit unserem Buch wollten wir jedenfalls einen Beitrag zur Diskussion leisten.

November 20 2013

Landgericht Berlin: 25 Klauseln in Googles AGB und Datenschutzerklärung unzulässig

Verbraucherschützer haben vor dem Landgericht Berlin einen Streit über Googles Nutzungs- und Datenschutzbestimmungen gewonnen: Das Gericht hat eine Reihe von Klauseln für rechtswidrig erklärt, weil sie zu schwammig sind und Nutzer unzulässig benachteiligten.

Wie der Verbraucherzentrale Bundesverband mitteilt, geht es bei den fraglichen Klauseln unter anderem um Standortdaten und die Zusammenführung von Nutzerdaten über verschiedene Dienste. Diese seien zu vage:

Google hatte sich in der Datenschutzerklärung unter anderem das Recht vorbehalten, „möglicherweise“ gerätespezifische Informationen und Standortdaten zu erfassen oder „unter Umständen“ personenbezogene Daten aus den verschiedenen Google-Diensten miteinander zu verknüpfen. Für Verbraucher blieb unklar, wozu sie ihre Zustimmung genau erteilen sollten.

Bei weiteren umstrtittenen Bestimmungen geht es unter anderem um die Fernlöschung von Apps auf Mobilgeräten und das von Google reservierte Recht, Funktionen und Dienste sowie die Nutzungsbedingungen selbst einseitig zu ändern. Das Urteil (15 O 402/12) oder die fraglichen 25 Klauseln konkret sind bis jetzt nicht veröffentlicht.

Google hat Berufung gegen das Urteil angekündigt, das Unternehmen hält die Klauseln für zulässig; ein weiterer Streitpunkt dreht sich um die Klagebefugnis der Verbraucherzentralen. Wenn das Urteil rechtskräftig wird, muss Google sein Kleingedrucktes ändern. Vergangene Woche hatte Google seine Nutzungsbedingungen geändert, um „soziale Werbung” mit Nutzerdaten zu erlauben. Die Klage des VZBV bezieht sich auf Änderungen an AGB und Datenschutzerklärung im März 2012.

November 18 2013

Schöpfungshöhe bei angewandter Kunst, Google-Books-Entscheidung, Schengen-Cloud

Nach dem BGH-Urteil „Geburtstagszug” muss angewandte Kunst nicht „schöpferischer” als andere Werke sein, US-Autoren verlieren in erster Instanz im Google-Books-Streit. Außerdem im Wochenrückblick: Informationsfreiheit bei Bundestagsakten, Thilo Weichert und die Apothekendaten, De-CIX zur „Schengen-Cloud”.

Geburtstagszug – BGH entscheidet zur Schöpfungshöhe bei angewandter Kunst

Der BGH hat diese Woche in einem Urteil seine bisherige Rechtsprechung zur Schöpfungshöhe bei angewandter Kunst aufgegeben. Dies geht aus der bisher vorliegenden Pressemitteilung hervor. Danach seien an die Schöpfungshöhe bei der sogenannten „angewandten Kunst” keine höheren Anforderungen zu stellen als bei anderen Werken. Dies begründete das Gericht mit dem Konkurrenzverhältnis zwischen Urheberrecht und Geschmacksmusterrecht: Diese beiden Schutzrechte könnten mittlerweile aufgrund ihrer gesetzlichen Ausgestaltung unabhängig voneinander bestehen.
Zur Pressemitteilung des BGH.

USA: Autorenvereinigung unterliegt im Streit um Google Books

Bereits seit mehreren Jahren streiten die US-amerikanische Autorenvereinigung Authors Guild und Google bereits über die urheberrechtliche Zulässigkeit von Google Books. Nun hat das erstinstanzliche Gericht entschieden: Der Dienst ist zulässig. Google Books, bei dem Bücher digitalisiert und online bereit gestellt werden, verletze zwar möglicherweise urheberrechtliche Regeln – jedoch sei es letztlich durch die Fair Use Doktrin gedeckt. Die Authors Guild will das Urteil jedoch nicht hinnehmen und Rechtsmittel einlegen.
Zur Meldung auf urheberrecht.org.
iRights.info: „Die Google-Buchsuche ist nicht nur legal, sie nützt der Gesellschaft” – Ein Kommentar

OVG Berlin: UFO- und Guttenbergakten sind parlamentarische Tätigkeit

Das Oberverwaltungsgericht Berlin hat in zwei Verfahren darüber entschieden, dass kein informationsfreiheitsrechtlicher Zugangsanspruch zu zwei besonders interessanten Akten des Bundestags besteht. Bei der ersten handelt es sich um die sogenannte Ufo-Akte, bei der zweiten um wissenschaftliche Ausarbeitungen für den ehemaligen Bundestagsabgeordneten zu Guttenberg. Das Gericht entschied anders als noch die Vorinstanz, dass es sich bei den Ausarbeitungen um rein parlamentarische Tätigkeiten handelt, die vom Anwendungsbereich des Gesetzes ausgenommen sind. Das Gericht hat die Revision zugelassen.
Telemedicus zum erstinstanzlichen Urteil über die Ufo-Akten.
Zur Pressemiteilung des OVG.

„Größter Datenskandal der Nachkriegszeit”: Einstweilige Verfügung gegen Thilo Weichert

Der schleswig-holsteinische Datenschützer Thilo Weichert darf im Zusammenhang mit einem Apothekenrechenzentrum nicht mehr vom „größten Datenskandal der Nachkriegszeit” sprechen. Dies berichtete Heise diesen Mittwoch. Bei der Äußerung von Weichert ging es nicht um die massive Überwachung durch verschiedene Geheimdienste, sondern um den Handel von Patientendaten.
Zur Nachricht bei heise.de.

Folgen des Überwachungsskandals: DE-CIX stellt sich gegen Schengen-Cloud und Kontrolle

Der Betreiber des größten europäischen Internetknotens DE-CIX hat sich diese Woche gegen verschiedene Pläne ausgesprochen, die als Reaktion auf die Überwachungsskandale dieses Sommers gedacht waren. So wendet er sich unter anderem gegen die sogenannte Schengen-Cloud, da diese nationale Überwachungsmöglichkeiten fördere. Außerdem lehnt er die von Innenminister Friedrich gewünschte Überwachung des Knotens ab. DE-CIX wird von der DE-CIX Management GmbH betrieben, die selbst wieder eine 100 %-ige Tochter des Internetverbands eco ist. Auf europäischer Ebene treibt Kommissarin Neelie Kroes die Pläne für eine gemeinsame sichere Cloud voran, warnt dabei jedoch auch vor übermäßiger Abschottung.
„DE-CIX gegen die Schengen-Cloud” auf heise.de.

 

Lizenz dieses Artikels: CC BY-NC-SA.

November 01 2013

NSA infiltriert Google- und Yahoo-Netzwerke, Adobe-Kopierschutz, iCloud-Schlüsselbund

In den Cloud-Links der Woche: NSA zapft interne Datenleitungen an, US-Dienste wollen E-Mail sicherer machen, neuer Kopierschutz für E‑Books von Adobe, Klage um Streaming-Einnahmen und Passwörter bei iCloud.

NSA soll auch in interne Netze von Google und Yahoo eindringen

Wie zuerst von der Washington Post berichtet, zapft die NSA in Verbindung mit dem britischen Geheimdienst GCHQ offenbar auch interne Datenleitungen von Google und Yahoo an. Im Unterschied zum bereits bekannten „PRISM” soll das „Muscular” genannte Programm ohne Kenntnis der Unternehmen und ohne gerichtliche Grundlage ablaufen. Mit welchen Methoden genau die Dienste in private Netze eindringen, ist nicht mit Sicherheit zu sagen. Die Washington Post stellt mögliche Szenarien in einer Infografik dar. In einer Einschätzung meint Sicherheitsforscher Bruce Schneier, dass auch Microsoft, Apple, Facebook, Dropbox und andere Clouddienste in gleicher Weise als kompromittiert gelten müssten.

US-Anbieter wollen Sicherheit bei Mails weiterentwickeln

Die US-Dienste Lavabit und Silent Circle haben sich einer Entwicklungsallianz zusammengeschlossen, die E-Mails sicherer vor Ausspähung machen will. Wie aus einem Blogpost bei Silent Circle hervorgeht, will die neugegründete „Dark Mail Alliance” wohl vorerst keinen eigenen Dienst anbieten, sondern die dem Mailverkehr zugrundeliegenden Protokolle und Verfahren weiterentwickeln und dafür unter anderem auf das bei Chat-Programmen verbreitete XMPP-Protokoll zurückgreifen. Lavabit hatte im August seinen Dienst eingestellt, statt private Schlüssel an US-Behörden zu übergeben. Kurz darauf schaltete auch das von PGP-Erfinder Phil Zimmermann gegründete Unternehmen „Silent Circle” seinen E-Mail-Dienst ab. Nun hoffen die Unternehmen darauf, größere Mailanbieter ins Boot zu holen.

Adobe plant neues Kopierschutzsystem

Wie Johannes Haupt bei lesen.net berichtet, will Adobe in den kommenden Monaten eine neue Version seines DRM-Systems für E‑Books einführen. Kopierschutz von Adobe ist bei E‑Books im Epub-Format und PDF-Dateien das am weitesten verbreitete System und wird an Verlage unterlizenziert. Adobe nennt das neue System „unknackbar”; erfahrungsgemäß ist es nur eine Zeitfrage, bis Kopierschutz-Systeme geknackt sind. Beim jetzigen von Adobe eingesetzten System ist das bereits seit einigen Jahren der Fall.

Streaming-Einnahmen: Schwedische Künstler wollen Labels verklagen

Musiker in Schweden haben angekündigt, gegen die Plattenfirmen Universal und Warner Music vor Gericht zu ziehen. Wie musikmarkt.de berichtet, will die schwedische Musikergewerkschaft einen höheren Anteil für die Künstler an den Einnahmen von Streaming-Diensten erstreiten. In Schweden machen die Dienste – an erster Stelle das dort gegründete Spotify – dem Bericht nach 70 Prozent der Umsätze im Musikmarkt aus. Die Musiker erhielten 6 bis 10 Prozent der Einnahmen, ebenso wie im klassischen Tonträgermarkt. Die Künstler dagegen fordern 50 Prozent.

Heise: Wie sicher sind Passwörter in der iCloud?

Mit Apples neuen Betriebssystemen iOS 7 und Mavericks lassen sich auch Passwörter im Clouddienst des Unternehmens sichern. Bei Heise Security untersucht Jürgen Schmidt, wie es um die Sicherheit steht. Gegen Angriffe durch Dritte sei das System „schon recht gut abgesichert”, „erschreckend schlecht” sei jedoch die Sicherheit zu bewerten, wenn man Zugriffe von oder über Apple selbst in die Betrachtung einbezieht. Für eine genaue Sicherheitsbewertung müsste Apple jedoch entweder technische Details offenlegen oder Forscher müssten weitere Analysen durchführen.

October 28 2013

Ausschreibung: Ideen, Konzepte und Lösungen für „Privatheit in der E-Society”

Bei der „Integrata-Stiftung für humane Nutzung der Informationstechnologie” läuft noch bis Ende des Jahres eine Ausschreibung für den jährlich von der Stiftung vergebenen Preis. Dieses Jahr werden Vorschläge und Lösungen zum Thema „Privatheit” gesucht.

In der Ausschreibung (PDF) heißt es:

Privatheit ist einerseits notwendige Voraussetzung für die Autonomie des Individuums in einer demokratischen Zivilgesellschaft. Andererseits ist sie durch die aktuelle Entwicklung auf bisher unvorstellbare Weise bedroht. Dieser Konflikt ist sichtbar unter anderem in Bereichen wie:

  • Zunehmend virtualisierte Erwerbsumgebungen
  • Virtuelle Identitäten wie z.B. in social media
  • Nutzerorientiertes Identitätsmanagement
  • Energieinformations- und Energieversorgungssysteme (smart grids, smart metering)
  • Gesundheits- und Altersgerechte Assistenzsysteme

Wir fragen uns: Wie kann Privatheit in der E-Society gewahrt bleiben? Auf welche Weise sollten virtuelle Identitäten geschützt werden? Gesucht werden dafür Vorschläge, Konzepte und Lösungen für den Einsatz von Informationstechnologie, um Privatheit von physischer und virtueller Identität auf humane und gemeinwohlorientierte Weise in der E-Society zu gewährleisten.

Der Preis ist mit 10.000 Euro verbunden und kann auch auf mehrere, maximal drei Träger aufgeteilt werden. Damit lassen sich zwar keine Welten bewegen, aber zumindest Konzepte und Lösungen weiterverfolgen und -entwickeln. Was genau unter die Ausschreibung fällt, kann bei der Stiftung erfragt werden, dort auch mehr zu den Teilnahmemodalitäten.

Bei der letzten Runde unter dem Titel „Mehr Lebensqualität” wurden abgeordnetenwatch.de und das Informationsregister des Landes Bremen ausgezeichnet.

October 26 2013

Cloud-Links: Datenschutz-Verordnung, digitaler Binnenmarkt, nationale Clouds

Datenschutz-Verordnung, nationale Clouds, europäische IT-Industrie und Risiken bei Apples iCloud. Cloud-Links der Woche:

EP-Innenausschuss votiert für Datenschutz-Verordnung, Staatschefs wollen „rechtzeitig” verabschieden

Am Montag einigte sich der Innenausschuss des EU-Parlaments auf einen Kompromisstext für die geplante europäische Datenschutz-Grundverordnung. Im Rückenwind der Überwachungsenthüllungen ist auch die Verordnung wieder stärker in der Diskussion. Oft übersehen dabei allerdings: Auf die Arbeit von Geheimdiensten zielt sie nicht. Der „Guardian” zitiert dazu Berichterstatter Jan Philipp Albrecht: „Of course, national security is a huge loophole and we need to close it. But we can’t close it with this regulation.” Ebenfalls dazu Thomas Stadler bei Internet-Law. Unterschiedliche Interpretationen gibt es nun über die beim EU-Gipfel proklamierte „rechtzeitige” Verabschiedung der Verordnung, netzpolitik.org fasst sie zusammen.

Neelie Kroes gegen nationale Clouds

EU-Digitalkommissarin Neelie Kroes hat sich einem Interview mit dem „Spiegel” (nur als Meldung online) kritisch zu nationalen IT-Initiativen als Reaktion auf die Überwachungsenthüllungen geäußert. Mit Blick auf nationale Clouds und Routing-Pläne der Deutschen Telekom sagte Kroes: „Ich verstehe ja, wenn Deutschland seine hohen Sicherheitsstandards besser vermarkten will. Aber es macht keinen Sinn, bald 28 Clouds in Europa zu haben, das wäre ein Fehler”. Europäische Telekommunikationsunternehmen hätten an Innovationskraft verloren, gerade eine europäische IT-Industrie aber sei nun gefragt.

EU-Staatschefs wollen digitalen Binnenmarkt schaffen

Auch der am Freitag beendete EU-Gipfel der nationalen Staats- und Regierungschefs beschäftigte sich mit der europäischen IT-Wirtschaft. Die Europäische Union müsse Rahmenbedingungen schaffen, um Investitionen in die digitale Wirtschaft zu fördern. Insbesondere gelte es, einen „gemeinsamen Markt für Big Data und Cloud Computing” zu schaffen, heißt es in den Beschlüssen (PDF) des Europäischen Rats. Den wollen die Staats- und Regierungschefs bereits bis 2015 erreichen.

Apples iCloud erlaubt offenbar unbemerkten Ferndownload

Daten bei Apples iCloud-Dienst lagern dort wahrscheinlich nicht so unzugänglich wie vom Unternehmen bislang dargestellt. ZDNet fasst Ausführungen dazu von Vladimir Katalov zusammen, dem Chef der Sicherheitsfirma Elcomsoft. Demnach soll es die Backup-Funktionalität für mobile Geräte einem Angreifer erlauben, darauf gespeicherte Daten ohne physischen Zugang zum Gerät zu sichern und unbemerkt herunterzuladen, sofern er Benutzerkonto und -Passwort kennt. Nach Aussagen von Katalov greift Apple darüber hinaus auf Microsoft und Amazon als Drittanbieter für Speicherplatz zurück. Von dort könnten sich wiederum staatliche Behörden Zugang zu den Daten verschaffen.

October 24 2013

Apple Mavericks: Der diskrete Zwang zur Cloud

Wer Apples neues Betriebsystem Mavericks installiert, hat vermutlich auch ein Konto in der iCloud, so dass eine kleine Änderung sich leicht übersehen lässt: Zwar werden Musik, Filme und alles andere weiter über iTunes verwaltet; Kontakte, Kalenderdaten und Mailkonten aber lassen sich nicht mehr lokal mit mobilen Geräten synchronisieren. Auch dafür ist nun nur noch iCloud zuständig – oder eben, wenn man will, Alternativdienste wie das Google-Adressbuch, der zugehörige Kalender oder eigene Server. Auf Googles Android-Plattform ging das ohnehin nie lokal. Nun hat Apple den lokalen „Sync Services”-Dienst abgeschafft.

Was auf den ersten Blick wenig bemerkenswert scheint, ist aus zwei Gründen dennoch: Es zeigt zum einen, wie Cloud-Dienste in immer mehr Bereichen zum Standard werden. Man gibt die Daten immer seltener bewusst „in die Cloud”, sie sind ohnehin schon dort – ohne dass man als Nutzer noch abwägen müsste, ob einem das behagt: Die Macht der Standardeinstellung sorgt dafür.

Nicht mehr dabei in OS X 10.9: Kontakte und Kalender lokal synchronisieren

Nicht mehr dabei in OS X 10.9: Kontakte und Kalender lokal synchronisieren

Zum anderen zeigt sich auch hier: ein iCloud-Account wird ebenso wie das Amazon- oder Google-Konto zur Eintrittskarte in digitale Ökosysteme, die geschlossene Plattformen sind. Wäre die Metapher nicht so schief, könnte man von walled clouds sprechen, die sich aus den walled gardens der Webunternehmen entwickelt haben. Interoperabilität – also mit seinen Daten ohne größere Hindernisse umziehen zu können – ist so gut wie nie vorgesehen.

Das Bemerkenswerte daran: Es sind weniger die großen Änderungen, durch die sich die geschlossenen Plattformen herausbildet haben, sondern viele kleine, diskrete Schritte: Ein plattformgebundenes E-Book hier, ein Häkchen mehr, ein Feature weniger dort: zusammen ergibt das den Lock-in-Effekt. Wer im goldenen Käfig der iCloud sitzt, hat es bequem – solange er nicht wechseln will.

Dabei wäre für einen Blick aus dem Käfig Anlass genug: Welche Regeln für die Clouds gelten werden, für die wir hier und da schon die Häkchen gesetzt haben, wird gerade verhandelt: Bei der Datenschutz-Grundverordnung in Brüssel, für die nun die Verhandlungen mit dem Ministerrat bevorstehen. Ob die Verordnung bis auf Unternehmen wie Apple durchgreift oder neue Schlupflöcher entstehen, wird sich dann erst erweisen. Auch dort sollte man auf die unscheinbaren Änderungen achten.

Reposted bykrekk krekk

October 22 2013

EU-Datenschutzverordnung: Konservative zufrieden, Nutzerverbände üben Kritik

Das Europäische Parlament brachte gestern Abend die EU-Datenschutz-Grundverordnung einen Schritt weiter. Die Entschließung fand im Grundsatz viel Zuspruch – dagegen gehen besonders Bürgerrechtlern die geplanten Regelungen nicht weit genug.

Nach monatelangen Beratungen legte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des EU-Parlaments seine Position zur EU-Datenschutz-Grundverordnung vor. Als nächstes müssen der EU-Ministerrat und die Regierungen der Mitgliedstaaten über die insgesamt 91 Artikel umfassende Neuregelung beraten.

Für Jan Philipp Albrecht, der für den Entwurf zuständige EU-Parlamentarier und Grünen-Politiker, ist die Abstimmung des EU-Parlaments „ein großartiges Ergebnis“ und „ein Meilenstein auf dem Weg zu einem starken EU-Datenschutz”. Laut Axel Voss, Abgeordneter der konservativen EVP, von dem einige der insgesamt über 3000 Änderungsanträge zur Verordnung stammen, sei der euro­päi­sche Fli­ckentep­pich in Sachen Datenschutz nun bald passé. „Die Rechte der Bür­ge­rin­nen und Bür­ger wer­den gestärkt und über­all gelten die glei­chen Regeln. Dabei blei­ben die Stan­dards trotz erheb­licher Ver­bes­se­run­gen für die Nut­zer auch für die Wirt­schaft noch prak­ti­ka­bel”, schreibt Voss auf seiner eigenen Website.

Was ist „berechtigtes Interesse” an Datennutzung?

Auch der Verbraucherzentrale Bundesverband (VZBV) zeigt sich mit dem Verordnungsentwurf im Ansatz zufrieden: „Die EU-Parlamentarier haben fraktionsübergreifend ein Signal für einen selbstbestimmten Datenschutz gesetzt“, heißt es in einer Erklärung des Verbands. „Indem das europäische Datenschutzrecht auch auf außereuropäische Unternehmen angewendet wird, ist für Facebook & Co die Schonfrist abgelaufen“, schreibt VZBV-Vorstand Gerd Billen. „Damit gelten endlich gleiche Regeln für alle und die Verbraucherinnen und Verbraucher sind umfassend geschützt“.

Kritik übt der Verband daran, dass bei „berechtigtem Interesse“ Nutzerdaten weitgehend kommerziell nutz- und verwertbar würden. „Es fehlt an einer Definition oder einem Beispiel, wann ein ‚berechtigtes Interesse’ des Unternehmens das Interesse der Verbraucher an Privatheit überwiegt und die Datenverarbeitung damit gestattet sein soll.“

Kein Zusammenhang zu Bürger- und Freiheitsrechten

Wesentlich schärfer formuliert die europäische Bürgerrechtsinitiative European Digital Rights (EDRI) ihre Unzufriedenheit mit den jetzigen Plänen der EU-Parlamentarier: „Wenn die Verordnung so bleibt, öffnet sie den Online-Unternehmen Tür und Tor, unsere Daten zu sammeln, Nutzerprofile anzulegen und unsere Persönlichkeiten an den Höchstbietenden zu verkaufen“, schreibt Joe McNamee, Executive Director bei EDRi. Die Bürgerrechtler zeigen sich zudem enttäuscht, dass die Parlamentarier keinen Zusammenhang sehen wollen zwischen dem kommerziellen sammeln und weiterverwenden von Nutzerdaten und der Verletzung von Bürger- und Freiheitsrechten“, so EDRi in seiner Stellungnahme.

Praktisch alle Beobachter und Beteiligten rechnen damit, dass die Auseinandersetzungen zwischen Lobbyisten der Internetwirtschaft wie auch Bürgerrechtlern um verschärfende oder abschwächende Änderungen in den kommenden Monaten anhalten werden. Beispielhaft zeigte sich das im Ringen um die Höhe von Sanktionen für Unternehmen, die die neuen Regelungen verletzen. Während die Kommission vorschlug, die Strafe auf maximal eine Million Euro oder zwei Prozent des Umsatzes zu begrenzen, setzte der Ausschuss diese bei 100 Millionen Euro oder fünf Prozent des Umsatzes an.

Verordnungsentwurf nicht verwässern

Für den VZBV gilt es daher, keine Zeit zu verlieren. Er fordert Bundeskanzlerin Angela Merkel, Innen- und Verbraucherschutzminister Friedrich und die SPD als voraussichtlichen Koalitionspartner auf, „sich mit Nachdruck dafür einzusetzen, dass der Verordnungsentwurf nicht verwässert und noch vor der Europawahl 2014 verabschiedet wird.“ Der zuständige Jan Philipp Albrecht zeigt sich zuversichtlich, dass die Verordnung unter anderem mit der Unterstützung der neuen Bundesregierung „zügig auf hohem Niveau“ in die entscheidende Phase der Umsetzung in den einzelnen Mitgliedsstaaten gebracht werden könne.

Alle Meldungen und Hintergründe bei iRights.info zur EU-Datenschutzgrundverordnung gibt es hier.

October 19 2013

Verschlüsselung: Forscher wollen Truecrypt unter die Lupe nehmen

Verschlüsselungsprogramme wie Truecrypt sind spätestens seit den Überwachungsenthüllungen um NSA & Co. für breitere Kreise interessant geworden – etwa, um sensible Daten bei Cloudspeicherdiensten zu schützen. Open-Source-Programme gelten dabei zugleich als letzte Hoffnung, denn nur hier kann überprüft werden, welche Verfahren dahinterstehen und ob der Programmcode manipuliert wurde. Wie die Snowden-Enthüllungen gezeigt haben, ist gerade die konkrete Umsetzung der Verschlüsselung entscheidend.

Allerdings: Jemand muss die Programme dann auch tatsächlich überprüfen. Matthew Green, Informatikprofessor an der Johns-Hopkins-Universität und sein Forscherkollege Kenneth White rufen daher zu einem Audit für Truecrypt auf und sammeln derzeit Geld über Crowdfunding. Auf IsTrueCryptAuditedYet.com fassen sie ihr Vorhaben zusammen.

Rechtliche und technische Prüfung

Mit dem geplanten Audit verbinden sie vier Ziele: Erstens soll die von Truecrypt verwendete Lizenz daraufhin geprüft werden, ob sie mit den bei freier Software gebräuchlichen Lizenzen wie der GPL kompatibel ist. Dann könnte das Programm etwa bei Linux-Systemen gleich mitgeliefert werden. Zweitens soll der Prozess verbessert werden, in dem aus dem Programmcode das ausführbare Programm erstellt wird. Das „Ubuntu Privacy Remix Team” hatte hier bereits auf mögliche Risiken hingewiesen.

Neben weiteren Fehlerbehebungen soll dann viertens die gesamte Codebasis einer Kryptoanalyse unterzogen werden, Green und White wollen Sicherheitsfirmen dafür gewinnen. Tatsächlich sind die eigentlichen Urheber von Truecrypt unbekannt, wie Green in einem Blogpost schreibt. Zugleich legt er Wert darauf, dass er lediglich mögliche Probleme aufzähle, die auch jedes andere Programm betreffen könnten:

Let me be clear: I am not implying anything like this. Not even a little. The ‘problem’ with Truecrypt is the same problem we have with any popular security software in the post-September–5 era: we don’t know what to trust anymore.

Wieviel von den Plänen letztlich umgesetzt wird, steht noch nicht fest; ein festes Crowdfunding-Ziel haben die Forscher nicht festgelegt. Aktuell haben sie bereits gut 41.000 Dollar gesammelt. Die Wahl sei auf Truecrypt gefallen, weil das Programm weit verbreitet sei und zu den wenigen Lösungen gehöre, die auch von durchschnittlichen Anwendern leicht bedient werden können.

October 11 2013

Safe-Harbour-Verstöße, Tracking bei Mailprovidern, Cloudspeicher im Selbstbau

Datenschutzverstöße bei „Safe Harbour“, Tracking bei Mailprovidern, Streaming aus Musikerperspektive, Gauck zum Datenschutz, Datenleck bei Adobe und Cloudspeicher im Selbstbau. Die Cloud-Links der Woche:

Safe Harbour: Viele Verstöße gegen Datenschutz-Selbstregulierung

Viele US-Unternehmen verstoßen gegen die selbstauferlegten Verpflichtungen der Safe-Harbour-Vereinbarung, die den Export von Nutzerdaten aus Europa in die USA regelt. Das ist das Fazit eines Berichts (PDF) von Christopher Connoly, Chef der Datenschutzberatung Galexia, im Rahmen einer Anhörung im Innenausschuss des EU-Parlaments. So nennt der Bericht unter anderem 427 Verstöße im laufenden Jahr bei den US-Unternehmen, ein knappes Drittel mehr als 2010. Gänzlich neu ist der Befund Connolys nicht, die Safe-Harbour-Vereinbarung geriet zuletzt jedoch verstärkt in die Kritik. Worum es bei „Safe Harbour” geht, erläutert Jan Schallaböck bei iRights hier genauer.

Deutsche Mail-Provider lassen Tracking zu

Das Magazin c’t hat untersucht, bei welchen Mailprovidern Nutzer vom Absender beim Lesen beobachtet werden können. Technisch gesprochen: welche Anbieter Trackingpixel zulassen. Mit den vor allem von gewerblichen Absendern eingesetzten kleinen Bilddateien können diese nachprüfen, wann, womit und wo eine Mail gelesen wird. Demnach ist die Option bei T-Online, GMX, Web.de, Freenet und 1und1 standardmäßig aktiviert, zumindest beim Webmailer von 1und1 lässt sie sich aber abstellen. Positiv kommen in diesem Fall Yahoo und Google weg, bei denen die Option als Standard abgeschaltet ist. Ebenfalls untersucht wurden gängige Mailprogramme. Heise Security fasst die Ergebnisse zusammen.

Streamingdienste und die Künstler: Anbieter bleiben auf Daten sitzen

Der Musikwirtschaftsforscher Peter Tschmuck hat Streamingdienste wie Spotify, Amazon Cloud Drive oder Rhapsody als Einnahmequelle für Künstler untersucht und Statistiken ausgewertet. Sein Fazit: „Realistischerweise können Musikschaffende Streaming nicht als relevante Einkommensquelle ansehen. Nichtsdestotrotz sollten diese Plattformen als wichtiges Promotionstool für die Verbreitung der eigenen Werke angesehen werden.” Perspektivisch würden aber vor allem die von Streamingdiensten gesammelten Daten für Musikschaffende wichtig. Diese behalten jedoch in aller Regel die Plattformen.

Bundespräsident Gauck: Datenschutz so wichtig wie Umweltschutz

In einer Rede zum Tag der deutschen Einheit hat Bundespräsident Joachim Gauck auch das Thema Datenschutz behandelt. „So sollte der Datenschutz für den Erhalt der Privatsphäre so wichtig werden wie der Umweltschutz für den Erhalt der Lebensgrundlagen”, sagte Gauck. Dabei bezog sich der ehemalige Beauftragte für die Stasi-Unterlagen auch auf die Überwachungs- und Spionageaffäre und forderte „Gesetze, Konventionen und gesellschaftliche Verabredungen”, die dem digitalen Wandel Rechnung tragen.

Adobe: Datenleck bei Kundendaten und Sourcecode

Wie zuerst vom Sicherheitsforscher Brian Krebs berichtet, haben sich Angreifer bei einem Einbruch in das Unternehmensnetzwerk von Adobe Nutzerdaten wie Login-Information, Kreditkartendaten, verschlüsselte Passwörter und Programmcode beschafft. Betroffen sind offenbar Nutzer des Programms Coldfusion sowie Konten für Revel und Creative Cloud. Adobe erklärte, für Nutzer bestehe kein erhöhtes Risiko, betroffene Anwender würden benachrichtigt.

Podcast: Wozu Cloud im Selbstbau?

Marcus Richter hat sich mit dem Mikrorechner Raspberry Pi und der Owncloud-Software einen Cloudspeicher im Selbstbau-Modus zugelegt und eine Anleitung kompiliert. Mit erdgeist vom Chaos Computer Club unterhält er sich gut eine Stunde im Monoxyd-Podcast über die Gründe und Erfahrungen dabei. Hintergründe zum Cloud-im-Selbstbau-Trend auch hier bei iRights.

September 27 2013

Kritik an der Selbstregulierung der Online-Werbewirtschaft

Internet-Nutzer sollen das Erscheinen und die Aktivitäten „nutzungsbasierter Online-Werbung“ per Widerspruch steuern können. Datenschützer und Verbraucherverbände monieren das von der Werbewirtschaft angewandte Opt-out-Verfahren als verbraucherunfreundlich und nicht-EU-Richtlinien-konform.

„Nutzungsbasierte Werbung“ gibt es schon lange. Sie greift auf massenhaft gesammelte und analysierte Daten über das Surf-Verhalten breiter Nutzerschichten zurück, gleicht diese mit ebenfalls aus Suchanfragen und Website-Besuchen ermittelten Interessenprofilen des jeweiligen Nutzers ab, und spielt ihm dann dazu vermutlich passende Werbung in seinem Browser oder in der App ein. Wer beispielsweise häufig Informationen und Seiten zu Hollywood-Action-Filmen sucht oder besucht, könnte in seinem Browser früher oder später eine Banner- oder Pop-up-Werbung zur nächsten Kino-Premiere oder DVD-Veröffentlichung dieses Genres sehen. Durchaus nützlich, mitunter sehr willkommen, aber gewiss auch mit Bedacht zu handhaben, Stichworte: Cookies und Tracking.

Vergleichsweise neu ist, dass man das Erscheinen nutzungsbasierter Online-Werbung im Browser und deren Aktivitäten dahinter nun als Internet-Nutzer selbsttätig regeln und steuern können soll. Hierfür richtete die Online-Werbewirtschaft ein zentralisiertes, sogenanntes „Präferenzmanagementsystem“ ein, und zwar auf der Website „Your Online Choices“. Dort kann man einzelnen Werbe-Anbietern verbieten oder  erlauben, dass im Browser nutzungsbasierte oder auch „verhaltensorientierte“ Werbung eingespielt wird.

Dieses Selbstregulierungssystem ist in den USA und Europa schon länger installiert. Doch weder das als Markenzeichnen geschützte Piktogramm, das die nutzungsbasierte Online-Werbung – „Online Behavorial Advertising“, OBA – kennzeichnen soll, noch das daran geknüpfte Widerspruchsverfahren sind hier bekannt. Anfang August startete der vom Zentralverband der deutschen Werbewirtschaft geleitete Deutsche Datenschutz Online-Rat, kurz DDOW, eine achtwöchige Aufklärungs- und Motivations-Kampagne.

Cookies im Fokus

Für das Sammeln und Weitergeben der Daten setzen die Online-Werber Kleinprogramme oder Textdateien ein: Cookies nisten sich hinter den Kulissen des Browsers ein und arbeiten dort unentwegt der nutzungsbasierten Werbung zu. Die konspirativen Daten-Kollekturen sind vielen Nutzern nicht geheuer oder nicht recht – gute Gründe für Daten- und Verbraucherschützer, mit Werbeverbänden und Politik um Gesetze und Ordnungen zu ringen. Und das sogar europaweit, beispielsweise die als „EU-Cookie-Richtlinie“ bekannte Direktive vom November 2009. Sie reguliert unter anderem den Einsatz und das Benehmen von Cookies für verhaltensbasierte Werbung und das Tracking.

Zur Beachtung: Heutzutage kann man als Nutzer in den gängigen Browsern Cookies von sogenannten „Drittanbietern“ generell den Zutritt verwehren, die digitalen Eckensteher also pauschal aussperren. Und genau das ist wiederum der Online-Werbung nicht recht. Sie betrachtet die Personalisierung der Werbung anhand (hochgerechneter) Interessenprofile als nutzwertig für alle Beteiligten.

„Online-Werbung ist eine unverzichtbare Finanzierungsgrundlage für vielfältige, gerade auch kostenlose Dienste- und Inhaltsangebote im Internet. Dabei ist die Schaltung von Werbemitteln in Online-Medien aufgrund der spezifischen Kommunikationsbedingungen des Internets in besonderer Weise auf die Beachtung von Zielgruppenpräferenzen angewiesen“, erklärt dazu Matthias Wahl, Sprecher des Deutschen Datenschutzrats Online-Werbung (DDOW). Die Werbeverbände bemühen sich aus nachvollziehbarem, geschäftlichem Interesse darum, die Beachtung und das angeknackste Vertrauen in die nutzungsbasierte Werbung wieder zu vergrößern.

So weisen ihre Vertreter gerne darauf hin, dass es bei nutzungsbasierter Werbung oft zu einem Missverständnis komme. Entgegen der vermeintlichen öffentlichen Meinung verwende diese Werbeform nur anonyme beziehungsweise pseudonyme Nutzungsdaten über besuchte Webseiten, nicht aber über die konkreten Nutzer. Gleichwohl scheint die Werbeindustrie dem Mistrauen vieler Verbraucher gegenüber der von Interessenprofilen geleiteten OBA-Werbung entgegenzukommen und entwickelte das als Selbstregulierungsmaßnahme der Branche bezeichnete „Präferenzmanagement“.

Streitpunkt Opt-out-Verfahren

An diesem Verfahren monieren Datenschützer und Verbraucherverbände, dass es sich um ein Opt-out-Verfahren handelt. „Opt-out“ meint, dass man als Verbraucher aktiv die entsprechende Widerspruchsseite aufsuchen muss, um dort nutzungsbasierter Werbung einzeln zu widersprechen, dem jeweiligen Werbe-Anbieter sozusagen (Browser-) also Hausverbot zu erteilen.

Weiterhin in der Kritik steht, dass das Widerspruchs-System über ein Cookie funktioniere, welches dann über das Hausverbot wacht. Doch dafür muss man das Cookie des Drittanbieters DDOW überhaupt zulassen. Ein für Verbraucher unfreundliches Konzept, meint der Datenschutz-Referent beim Verbraucherzentrale Bundesverband (VZBV), Florian Glatzner:

„Es müsste doch vielmehr so sein, dass die Werbe-Anbieter verpflichtet sind, sich beim Nutzer jeweils die Genehmigung dafür zu holen, ihm nutzungsbasierte Werbung präsentieren zu dürfen“, argumentiert er. „Außerdem muss ich mich bei diesem Verfahren als Verbraucher selbständig darum kümmern, ob sich neue Werbeanbieter dem Widerspruchs-System angeschlossen haben, und ich müsste dann auch bei diesen explizit widersprechen.“

Das größte Problem sei die pauschale Erlaubnis, so Glatzner. Vielen Verbrauchern sei nicht bewusst, dass sie der Nutzung ihrer Daten für verhaltensbezogene Werbung bereits dadurch zustimmen, dass sie inaktiv bleiben und sich keinen Opt-out-Cookie setzen lassen.

Nicht weniger deutlich äußert sich Alexander Dix, Datenschutzbeauftragter des Landes Berlin: „Beim DDOW-Prozedere handelt es sich eindeutig um ein Opt-out-Verfahren. Und damit genügt es nicht der EU-Cookie-Richtlinie. Diese sieht eindeutlig ein Opt-in-Verfahren vor.“ Dem will Bernd Nauen, Justitiar beim DDOW, gar nicht widersprechen: „Ja, in technischer Hinsicht handelt es sich um ein Opt-out-Prinzip.“

Allerdings, so Nauen, könne der Nutzer ja mehreren, dem OBA-Verfahren angeschlossenen Anbieter gleichzeitig das Opt-out erklären. „Unser System ermöglicht ihnen, gezielter und granularer zu entscheiden. Und das wollten viele Nutzer auch – die meisten begrüßen zielgruppenspezifische Werbung.“ Das DDOW-Verfahren sei ein praktikabler Mittelweg für die Nutzer, ihre „informationelle Selbstbestimmung wahrzunehmen“, heißt es dazu auf der Website des Dachverbands der Deutschen Werbewirtschaft, ZAW.

Aufklärung über Cookies – per Cookie

Trotz dieser zur Schau getragenen Gewissheit über die Beliebtheit nutzungsbasierter Werbung startete der DDOW Anfang August seine Kampagne im Web. Als Erkennungszeichen dient das nebenstehende Piktogramm, das auf Bannern und Werbemotiven appliziert ist.

Allerdings basiert auch dieses Icon – wie der ganze OBA-Mechanismus – auf einem Drittanbieter-Cookie. Das aber sperren viele pauschal aus ihrem Browser aus. Wieviele der Nutzer dies praktizieren, dazu können weder die Online- und Werbeverbände noch Daten- oder Verbraucherschützer Zahlen vorlegen – auch wenn alle solche Erhebungen gerne hätten.

Laut Alexander Dix ist in den vergangenen Jahren aber die Sensibilität gegenüber Cookies und Online-Werbung generell gestiegen. Das hätte zuletzt die recht rege Diskussion um den Werbeblockierer „Adblock Plus“ und dessen gezielter Datensammelpraxis gezeigt. Daher sei ein relevanter Anteil an Cookie-Blockierern zu vermuten. Wenn diese aber das OBA-Icon gar nicht sehen, dann hieße das doch, so Dix, „dass dieser Personenkreis von der Aufklärung ausgeschlossen ist. Vermutlich will die Werbebranche ja diese Personen wieder zurückgewinnen, denn deren Einstellungen gehen ja indirekt zu Lasten der Werbewirtschaft.“

Kleines Symbol – mit welcher Wirkung?

Laut VZBV-Referent Glatzner wird das OBA-Piktogramm in der Regel zu klein gesetzt. Einer von ihm zitierten Studie aus den USA zufolge, wo OBA-Zeichen und Widerspruchsverfahren schon länger im Umlauf sind, hätten in den letzen Jahren gerade einmal ein halbes Prozent aller Internet-Nutzer das Icon angeklickt. „Das liegt auch daran, dass es meist in die Bannermotive integriert und dort schwer zu erkennen ist. Zudem gibt es eine Scheu, in ein Banner hinein zu klicken, weil nicht klar ist, dass man eine von der Werbung entkoppelte Meta-Information aktiviert und eben nicht die Werbung selbst anklickt, was man vielleicht gar nicht will“, so Glatzner.

Wieviele Verbraucher im Verlauf der acht Kampagnenwochen die Aufklärungsangebote beziehungsweise das Widerspruchsverfahren wahrgenommen haben, darüber soll eine vom DDOW beauftragte Evaluation Aufschluss bringen. Unabhängig davon steht für Datenschützer Dix fest, die Werbewirtschaft weiter zu fordern.

Dix sagt: „Die Artikel 29-Gruppe der europäischen Datenschutzbeauftragten hat sich dazu mehrfach geäußert und klargestellt, dass sie eine Opt-in-Lösung erwartet. Es gab ja Gespräche mit dem Geschäftsführer des ZAW, dabei stand zur Diskussion, dass die Werbewirtschaft Verhaltenskodizes entwickelt, die wir entsprechend prüfen können. Doch diese Kodizes sind uns bisher nicht vorgelegt worden.“

Selbstschutzmaßnahmen im Browser

Unabhängig davon, ob sich Datenschützer und Werbeindustrie irgendwann auf ein für beide Seiten akzeptables Prozedere einigen: Als Internetnutzer kann man sich durch Einstellungen im Browser gegen fremde Datensammler schützen. Neben der bereits erwähnten Aussperrung von Cookies von Drittanbietern und den Werbeanzeigen-Blockern wie Adblock gibt es seit einiger Zeit auch die Option, das Tracking generell zu verbieten.

Meist im Bereich „Datenschutz“ der Einstellungen untergebracht und als „Do not track“-Option bezeichnet, weist die Option jede besuchte Website an, auf die Verfolgung von Klicks und Eingaben des Nutzers zu verzichten. Das können die Website zwar technisch umgehen und es ist rechtlich nicht eindeutig geklärt, ob Website-Betreiber und Werbeanbieter gegen Datenschutzgesetze verstoßen, wenn sie sich nicht daran halten. Gleichwohl kann man so das Tracking generell verbieten oder zulassen, derzeit in den aktuellen Versionen der Browser Firefox, Internet Explorer, Safari, Chrome und Opera.

Wer sich dafür interessiert, mit wem eine besuchte Webseite im Hintergrund Daten austauscht, kann Browser-Erweiterungen oder spezielle Programme installieren. Sie machen jede einzelne Anfrage sichtbar und ermöglichen es, den Umgang damit genau zu steuern. Zu den bekannteren gehören Ghostery und die von Mozilla entwickelte Erweiterung „Collusion“. Allerdings steht „Ghostery“ unter dem Verdacht, dass es die mit ihm und von den Nutzern erteilten Zugriffsverbote und Einstellungen (heimlich) sammelt und veräußert, ähnlich wie Adblock-Plus.

September 26 2013

Stiftung Warentest: Viele Mängel bei AGB und Datenschutz von E-Book-Portalen

Die Nutzungsbedingungen und der Umgang mit Nutzerdaten sind bei vielen E-Book-Portalen kritisch. Das geht aus einer Untersuchung der Stiftung Warentest hervor, die zehn Anbieter unter die Lupe genommen hat. Amazons Kindle-Shop kosteten die Mängel in den AGB sogar den sonst erreichten Testsieg.

Überzeugend, bis man ins Kleingedruckte sieht: Amazons Kindle-Shop hätte in der Untersuchung der Stiftung Warentest den ersten Platz belegen können, wären da nicht die AGB. Darin will Amazon luxemburgisches Recht geltend machen – unzulässig, wie die Tester monieren. Was dem Portal – im Test bei Angebot und Komfort vorne – einen Punktabzug um eine ganze Note brachte, freut nun zwei deutsche Anbieter: buecher.de (Springer/Holtzbrinck/Weltbild) und ebook.de (Libri) teilen sich den ersten Platz mit einer Note von 2,7.

Auch die Anbieter Kobo und der „Reader Store” von Sony weisen demnach „sehr deutliche” Mängel in den AGB auf, „deutliche” sind es bei Apple. Bei Kobo etwa gibt es die Nutzungsbedingungen erst gar nicht auf Deutsch, was höchstwahrscheinlich unzulässig ist. Zudem wimmele es dort vor unzulässigen Klauseln, also etwa solchen, die für Nutzer überraschend sind oder sie unangemessen benachteiligen.

Nutzerdaten: Kein Anbieter besser als „ausreichend”

Beim Umgang mit Nutzerdaten konnte gar kein Anbieter die Tester überzeugen: Über die Noten „mangelhaft” oder „ausreichend“ kommt keiner hinaus, auch die beiden Testsieger nicht. „Keiner schließt in der Datenschutzerklärung eindeutig aus, die Nutzerdaten für Werbung und andere Zwecke zu verwenden oder weiterzugeben”, heißt es im Test. Wollen Nutzer ihre Daten löschen, bleiben viele Portale Hinweise dazu schuldig.

Gesondert untersucht wurde der Datenschutz der jeweiligen Lese-Apps für Android- und iOS-Geräte, wofür die Tester den Datenstrom der Anwendungen auswerteten. Dass einige Programme unnötige Daten wie die Gerätekennung übermittelten, wurde als kritisch eingestuft. Davon betroffen sind die Apps von Buecher.de, Weltbild.de, des Pageplace-Portals der Telekom und Kobo; teilweise auch die Apps von Thalia, Amazon Kindle und Google Play.

Komfort im goldenen Käfig

Die Untersuchung macht auch deutlich, wie zweischneidig die E-Book-Welten für Nutzer derzeit sind: Bequemlichkeit und Komfort beim Einkauf und bei der Nutzung werden mit geschlossenen Plattformen, meist auch mit Kopierschutz und eingeschränkten „Nutzungsrechten” am E-Book erkauft. „Der goldene Käfig ist hier weit geräumiger als der bei Apple”, heißt es etwa über die Amazon-Kindle-Welt. Erst wer die Welten wechseln will, bekommt die Lock-in-Effekte zu spüren. In der Gesamtwertung zählten die Wertungen im Feld „Information und Verträge” jedoch geringer als Angebot, Einkauf und Bedienbarkeit.

Eine Präzisierung lässt sich zum Angebot von Apples „iBookstore” anbringen. Im Test heißt es, dort gekaufte Dateien seien nur auf Apple-Geräten lesbar. Für Epub-Dateien ohne Kopierschutz gilt das aber nicht. Diese sind auf gängigen E-Book-Readern lesbar, allerdings nicht auf dem Amazon Kindle, da dieser ein anderes Format benutzt. Zurecht kritisieren die Tester, dass die Portale ihre Kunden häufig mehr schlecht als recht darüber informieren, ob sie Dateien mit oder ohne Kopierschutz bekommen.

Die Untersuchung lässt sich im Oktober-Heft der Stiftung Warentest oder kostenpflichtig unter test.de nachlesen.

September 20 2013

Wem soll Big Data dienen?

Je mehr Daten, desto besser – das ist der Ansatz von „Big Data”. Ein Konzept, das zunehmend auf Skepsis zu stoßen scheint. Aber nicht die Daten an sich sind das Problem, sondern wer sie nutzen kann und welche Regeln dafür gelten. Denn Big Data hat die Tendenz, die digitale Spaltung zu verstärken.

Hinter „Big Data” steckt ein großes Versprechen. In den Daten, die digitale Welt unablässig produziert, schlummere ein Wissen, das nur noch gehoben werden muss – indem diese gesammelt, zusammengeführt und ausgewertet werden. „Wired”-Chef Chris Anderson glaubte in einem vielzitierten Essay sogar, die statistische Auswertung von Daten werde bald wissenschaftliche Theorien ersetzen.

Solche Heilsversprechen haben sich – wenig überraschend – nicht bewahrheitet, auch wenn die Techniken des Data Mining tatsächlich die Wissenschaft verändern. Big Data ist aber primär ein wirtschaftliches Thema: Mehr Effizienz für Unternehmen, zielgerichtete Werbung oder Vorhersagen über den Markt, wenn etwa eine Supermarkt-Kette die Äußerungen in sozialen Netzwerken auswertet und ihr Sortiment entsprechend anpasst. „Big Data zu nutzen, wird für Unternehmen zum Schlüsselfaktor für Wettbewerb und Wachstum”, heißt es etwa in einer McKinsey-Studie.

Was ist „Big Data”? Zu groß für Excel

Anschaulich wird das in einem Video der Firma Sqrrl, die unter diesem Namen ein Data-Mining-Tool anbietet. Wir sehen ein Daten-Eichhörnchen, das stapelweise Daten gehortet hat, aber nicht zu nutzen versteht, erklärt der Sprecher. Denn Datenschutz und andere Regulierungen verhindern, dass es die Daten auswerten kann. So bleiben sie im Silo ungenutzt eingesperrt. Doch die Entwickler von Sqrrl haben ein Werkzeug ersonnen, mit dem die Daten angeblich nicht mehr im Silo lagern müssen:

Das Programm „Sqrrl” ist eine kommerzielle Weiterentwicklung des Programms „Accumulo”. Entwickelt hat es der US-Geheimdienst NSA, um große Datenmassen verwalten zu können. Heute steht „Accumulo” als freie Software bereit. Man kann sich das Programm wie einige riesige Tabelle vorstellen – nur dass die Tabelle so groß ist, dass sie nicht als Datei auf einem Rechner am Schreibtisch, sondern übers Internet verteilt gespeichert und bearbeitet wird. Eine weit verbreitete, etwas saloppe Definition von „Big Data” heißt dann auch: Alles, was zu groß für eine Excel-Tabelle ist.

Die „Cell Level Security”, die von den Entwicklern angepriesen wird, erwuchs aus den Anforderungen der Arbeit der NSA: Jede Zelle der Tabelle kann nach Geheimdienstanforderungen klassifiziert werden, also zum Beispiel eine Einstufung als „streng geheim”, „vertraulich” und so weiter erhalten. Damit soll der Schatz von Big Data auch in der freien Wirtschaft gehoben werden – auch wenn Datenschützer durch eine Funktion wie „Cell Level Security” keineswegs beruhigt sein werden.

Mit dem Programm und seinen Auswertungsmöglichkeiten könnten Kundentransaktionen, E-Mail-Verkehr oder Aktivitäten in sozialen Netzwerken überwacht und „verdächtiges“ Verhalten erkannt werden, heißt es in einer Broschüre (PDF) des Unternehmens. Der typische Ansatz dabei: Daten verschiedener Quellen lassen sich kombinieren, statistisch auswerten und korrelieren – und man schaut, was sich ergibt. Gibt es etwa interessante Muster, die weiterverfolgt werden können?

Erst sammeln, später auswerten

„Indem wir Datensätze zusammenbringen, konnten wir mit Accumulo Dinge in den Daten erkennen, die wir nicht entdeckt hätten, wenn wir sie uns unter diesem und jenem Gesichtspunkt angesehen hätten“, erklärte Dave Hurry, Chef der Informatikforschungsabteilung der NSA, der Information Week. Es ist ein Ansatz, der sich im Kern nicht groß von demjenigen unterscheidet, den Google-Forscher vor einigen Jahren in einem Aufsatz über Sprachverarbeitung (PDF) vorschlugen, wenngleich mit anderem Ziel: „Gehen Sie raus, sammeln Sie ein paar Daten und schauen Sie dann, was man damit machen kann“.

Beide Zitate bringen den Paradigmenwechsel zu „Big Data” auf den Punkt. Datenschützer standen dem Konzept lange eher reserviert gegenüber. Denn mit den hergebrachten Grundprinzipen des Datenschutzes in Europa steht der Ansatz auf dem Kriegsfuß. Da wären etwa die Gründsätze der Einwilligung und der Zweckbindung, nach der Nutzer der Sammlung ihrer Daten zustimmen müssen und diese nicht für alle möglichen, sondern nur für genau definierte Zwecke verwendet werden können. Oder der Grundsatz der Erforderlichkeit: Daten sammeln, und später schauen, was man damit machen kann, das geht nicht.

Datenschutz entdeckt Big Data

In letzter Zeit scheint sich ein gewisser Wandel zu vollziehen: Thilo Weichert etwa, Chef des Schleswig-Holsteiner Datenschutzzentrums USD, betont, dass auch „Big Data”-Auswertungen datenschutzkonform möglich seien – wenn etwa die Daten soweit anonymisiert würden, dass sie Rückschlüsse auf einzelne Personen nicht mehr erlaubten. Dahinter steht wohl die Einsicht, dass sich der Trend zu immer größeren Datensammlungen kaum mehr stoppen lässt, weil technische Entwicklung und wirtschaftliche Verwertungsmöglichkeiten stärker wiegen. Weicherts Behörde hat etwa einem System zur Kassenauswertung eines Discounters oder Targeting-Systemen in der Online-Werbung ihr Gütesiegel zuerkannt.

Dennoch stößt „Big Data” nach wie vor auf Skepsis – was man gut oder schlecht finden kann. Glaubt man einer Untersuchung im Auftrag der Deutschen Telekom, dann ist infolge der Enthüllungen im Überwachungs- und Spionageskandal in der Bevölkerung die Bereitschaft zurückgegangen, an umfangreichen Datensammlungen und -auswertungen teilzunehmen, egal ob es staatliche oder privatwirtschaftliche Sammlungen sind. So gaben etwa im Juni noch eine knappe Mehrheit der Befragten an, sie fänden es in Ordnung, wenn Unternehmen Diskussionsforen im Internet auswerten, um Produkte zu verbessern. Im August zeigten sich 57 Prozent, also die Mehrheit der Befragten, kritisch.

Die digitale Spaltung

Die Diskussion über Chancen und Risiken von „Big Data” ist allerdings nicht neu: Danah Boyd, Internetforscherin bei Microsoft, stellt eine neue digitale Spaltung fest. „Wer hat Zugang? Für welche Zwecke? In welchem Zusammenhang? Mit welchen Begrenzungen?” fragt sie in einem Aufsatz. Und der Medienwissenschaftler Lev Manovich sah drei „Daten-Klassen” am Entstehen: Zu den Datenproduzenten gehöre praktisch jeder, der ein Handy besitzt oder das Web benutzt. Es folge die Klasse derjenigen, die die Mittel zum Datensammeln besitzen, noch kleiner aber sei die Gruppe derer, die über Zugang und Fähigkeiten zur Auswertung verfügten.

Nach den Erkenntnissen über Prism, Tempora & Co. lässt sich das Modell um eine weitere Klasse ergänzen: Zwar sitzen IT-Riesen wie Amazon oder Google bereits auf umfangreichen Datenbergen. Die am weitesten entwickelten Geheimdienste aber bilden eine Daten-Superelite. Sie können sich aussuchen, bei welchen IT-Unternehmen sie sich anstöpseln oder wo Internetknoten angebohrt werden. Aber auch innerhalb der Staaten, zwischen Regierungen und Behörden ist eine Spaltung in „Daten-Begüterte” und „Daten-Habenichtse” entstanden, wie der Internet-Rechtsprofessor Peter Swire konstatiert. Wer im technischen Wettrennen vorne liegt, hat Zugang zur Cloud, in der ein immer größerer Teil der Informationen lagert, die früher an anderen Stellen abgegriffen wurden.

Die Autoren Viktor Mayer-Schönberger und Kenneth Cukier sprechen sogar vor einer „Diktatur der Daten”, in der „wir uns von Daten derart regieren lassen, dass es mehr Schaden als Nutzen bringt”. Aber nicht „die Daten” regieren uns, sie sind ein Mittel für verschiedene Zwecke. Wer Zugang zu Daten hat und wer nicht, wer sie wann und wo erhebt, welche Regeln fürs Sammeln und Verarbeiten gelten, welche Rechte Nutzer haben, wer die Mittel zum Auswerten hat – all das wird darüber entscheiden, ob die Segnungen von „Big Data” nur ein Versprechen bleiben oder zum Nutzen für viele eingesetzt werden können.

September 09 2013

Im Dickicht der Daten: Was der „Tatort” lehrt

Die Cloud hat Einzug im „Tatort” gehalten. Zwischen Funkzellenabfrage, Handy-Bildern im Laptop-Backup und Überwachungskameras zapften die Ermittler am Sonntagabend im Ersten alle denkbaren Datenquellen an. Des Rätsels Lösung lag nicht darin.

Kaum etwas macht ein Thema so zur gesellschaftlichen Realität wie der „Tatort”. Ob Zwangs-Prostitution, assistierte Selbsttötung oder schlichtweg das Wort „Scheiße“: Der Sonntagabend-Krimi etabliert gesellschaftliche Realität in deutschen Wohnzimmern. Dass sich die Berliner Tatort-Ermittler diesmal ganz auf Datenberge und die Cloud konzentrierten, setzt zumindest neue Maßstäbe in der Welt der deutschen Polizei-Serien.

Der eigentliche Fall ist schnell erzählt und passt zu den Boulevardschlagzeilen der letzten Jahre: Betrunkene Jugendliche pöbeln in der U-Bahn, greifen Passanten an und erschlagen am Ende einen Mann im U-Bahnhof, während die Passanten wegsehen. Als die Täter schließlich ermittelt werden, stehen die Ermittler vor der Frage: Wer von ihnen ist der Mörder?

Eins zu Null für Fahndung 1.0

Damit die digitalen Spuren so richtig zur Geltung kamen, konstruierte Autor und Regisseur Stephan Wagner den Fall sehr sorgfältig um die klassischen Ermittlungsansätze herum: So war der U-Bahnhof vor Eintreffen der Spurensicherung gereinigt worden, Fingerabdrücke oder Blutspuren vernichtet. Um die Täter zu finden, werteten die Berliner Ermittler zuerst die Kameras an der U-Bahn-Station aus, um schließlich über eine Funkzellenabfrage Täter und Zeugen zu identifizieren. Ohne Erfolg: Der Haupttäter stellte sich selbst, als ein unscharfes Bild von ihm in der Presse veröffentlicht wurde. Eins zu Null für die Fahndung 1.0.

Im Verlauf der anderthalb Stunden machten die Ermittler eine um die andere Datenquelle aus: Die Smartphones von betrunkenen Touristinnen in Partystimmung, die Kamera eines entgegenlaufenden Zuges. Dann die GPS-Ortung des Smartphones des Opfers; schließlich sogar die Fotos, die das Opfer in der Cloud abgelegt hatte. Schritt für Schritt wird dem Publikum präsentiert, wo wir überall Daten hinterlassen und wie jeder Schritt digital nachvollzogen werden kann, wenn man nur genug Datenquellen abgreift. Sekundengenau.

Wo die Ermittler gar zwei Datenquellen – wie Handydaten und Personalausweis-Register – abgleichen, lassen sich Zeugen recht zuverlässig identifizieren. Selbst wenn die staatlichen Datenbanken versagen, gibt es genug private Daten – man muss nur nach ihnen suchen. Das alles hielten die Tatort-Macher auf laientauglichem Niveau, angefangen mit der Frage: „Cloud-fähig – was war das nochmal?“

Im Wald vor lauter Daten

Die Tatort-Macher wollten sich klar nach allen Seiten absichern. Um nicht in unkritische Cloud-Begeisterung zu verfallen, zeigten sie Polizisten, die beim Auswerten der Bilder feiernder Asiatinnen in hysterisches Kichern verfallen; ein Sondereinsatzkommando stürmt dann versehentlich die falsche Wohnung.

Auch juristisch hatte Wagner den Fall abgesichert: Die Kommissare erzählen so oft vom Richtervorbehalt bei der Abfrage der Daten, dass die Dialoge an Anfang geradezu hölzern wirkten. Nicht einmal der Tatort-Watch-Account der Grünen hatte große Einwände. Spannung hingegen kam kaum auf, ein Motiv blieb das Drehbuch achselzuckend schuldig.

Lehrreich scheint vor allem die Verwirrung der Beamten, die sich in den digitalen Daten schlichtweg verfangen und den Wald vor lauter Bäumen nicht mehr sehen. Denn die Lösung des Falls lag weder in den Daten aus der Cloud noch in Überwachungskameras – der Anrufbeantworter der Geliebten des Toten hatte die Tat aufgezeichnet. Das aber hätte er schon im analogen Zeitalter gekonnt.

Reposted bykrekkpharts

September 06 2013

Cloud-News: SSL-Verschlüsselung, Späh-Affäre, Spotify-Streit

Auch verschlüsselte Datenverbindungen können offenbar von Geheimdiensten ausgespäht werden, Datenschützer kritisieren mangelnde Aufklärung der Späh-Affäre, Streit um Playlists bei Spotify, Warten auf Spiele-Streaming in Europa. Die Cloud-News der Woche:

Bericht: Geheimdienste können auch verschlüsselten Datentransport ausspähen

Auch verschlüsselte Verbindungen über den SSL- bzw. HTTPS-Standard sind offenbar nicht vor möglicher Ausspähung durch die NSA und sein britisches Pendant GCHQ sicher. Das berichten gemeinsam der Guardian, die New York Times und Pro Publica mit Berufung auf Unterlagen aus dem Snowden-Fundus. Solche Verschlüsselungs-Standards bilden eine technische Grundlage für viele alltägliche Nutzungen des Internets und sichern den Datentransport; etwa beim Online-Einkauf, bei Cloud-Diensten oder bei der Übertragung von E-Mails. Sicherheitsforscher Bruce Schneier sagte gegenüber dem Guardian, die Geheimdienst-Programme mit den Codenamen „Bullrun” (NSA) und „Edgehill” (GCHQ) unterminierten die Grundstruktur des Internets.

Datenschützer kritisieren mangelnde Aufklärung und Konsequenzen der Späh-Affäre

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat die Politik aufgefordert, die gegenwärtige Späh-Affäre aufzuklären und das nationale, europäische und internationale Recht zum Schutz der Privatsphäre und der Grundrechte weiterzuentwickeln. „Die staatliche Pflicht zum Schutz der Grundrechte erfordert es, sich nicht mit der gegenwärtigen Situation abzufinden“, heißt es in einer Erklärung. Der Bundesdatenschutzbeauftragte Peter Schaar kritisiert darüber hinaus, das Bundesinnenministerium behindere die Aufklärung. Er habe das Minsterium sowie den Verfassungsschutz wegen Verstoßes gegen ihre gesetzliche Mitwirkungspflicht beanstandet, schreibt Schaar in einem Forenbeitrag.

Playlists: Musiklabel Ministry of Sound klagt gegen Spotify

Die Londoner Plattenfirma Ministry of Sound klagt gegen den Streaming-Dienst Spotify. Das berichtet der Guardian. Das Label sieht offenbar eine Urheberrechtsverletzung im Fall von Playlists, die von Nutzern angelegt wurden und in der Titelauswahl und Benennung Compilations des Labels nahekommen. Während das Label seine eigenen Veröffentlichungen nicht bei Spotify anbietet, handelt es sich bei den Ministry-of-Sound-Compilations überwiegend um anderswo veröffentlichte Titel. Das Musiklabel will Spotify vor dem britischen High Court auf Unterlassung und Schadensersatz in Anspruch nehmen. Das Gericht wird sich nun mit der Frage beschäftigen müssen, ob reine Zusammenstellungen von Musikstücken in Compilations noch einmal eigens geschützt sein können – wahrscheinlich als Datenbank.

„Breitband-Probleme”: Vorerst kein Spiele-Streaming bei Sony

Spielefreunde in Europa werden auf Cloud-Features von Sonys vor kurzem vorgestellter Konsole Playstation 4 noch längere Zeit warten müssen. Über den Dienst „Gakai” ist es dort möglich, Spiele für ältere Generationen der Sony-Konsole aufs Gerät zu streamen. In Europa wird der Dienst jedoch vorerst nicht zur Verfügung stehen. In einem Interview mit dem Spielemagazin Edge machte Sony-Spielechef Jim Ryan nicht näher definierte „Probleme mit Breitband” in Europa dafür verantwortlich. Einen Zeitplan für europäische Nutzer gäbe es daher noch nicht.

September 05 2013

Speicherdienste in der Cloud: Flyer mit Tipps und Hinweisen jetzt bestellbar

Muss ich mich bei Diensten mit echten Angaben registrieren? Wann sollte man Daten verschlüsseln? Wann ist das Hochladen von Dateien urheberrechtlich problematisch? Tipps und Hinweise zur Nutzung von Cloud-Speicherdiensten hat iRights Cloud in einem Faltblatt zusammengefasst.

Die Cloud ist auf den ersten Blick eine schöne Metapher. Sie bringt eine Entwicklung auf den Punkt, an deren Ende Dienste über’s Internet einmal so selbstverständlich werden könnten wie Strom aus der Steckdose. Anwendungen und Dienste, die bislang auf dem heimischen Rechner liefen, wandern ins Netz:

Dahinter stecken wichtige Fragen, die klare Antworten brauchen: Wo werden die Daten eigentlich gespeichert, wo sitzen die Anbieter? Welche Regeln gelten dafür? Wie kann man seine Daten schützen, was gibt es bei der Nutzung von Diensten zu beachten? Seit fast einem Jahr geht es bei iRights Cloud um diese und weitere Fragen.

Speicherdienste in der Cloud wie Dropbox, iCloud, Skydrive, Wuala & Co. gehören zu den Angeboten, die mittlerweile für viele Nutzerinnen und Nutzer Alltag sind – auch deshalb, weil Geräte oder Programme zunehmend darauf voreingestellt sind. Die wichtigsten Tipps zum Thema hat iRights Cloud jetzt in einem Faltblatt (PDF) zusammengefasst.

Das Faltblatt kann kostenlos auch in größeren Mengen bestellt werden – einfach per Mail an <redaktion@irights.info>.

„Digital Natives” dürften wohl viele der Hinweise kennen; wir denken aber, dass es gerade für Otto und Erika Normalnutzer hilfreich ist, diese noch einmal kurz und bündig zusammenzufassen. Anmerkungen dazu gerne in den Kommentaren. Ausführlichere Informationen finden sich in der Rubrik „Speichern in der Cloud”.

September 03 2013

Gesellschaft für Informatik mit FAQ zu „Sicherheit und Unsicherheit im Internet”

Der Berufsverband Gesellschaft für Informatik (GI) hat eine empfehlenswerte „FAQ-Liste zu Sicherheit und Unsicherheit im Internet” veröffentlicht. In Form von 40 Fragen und Antworten beschäftigt sie sich mit den aktuellen Enthüllungen und Diskussionen über die Überwachungs- und Spähprogramme im Netz.

Die Frageliste geht auf technische Möglichkeiten, rechtliche Grundlagen, die politische Diskussion und die Möglichkeiten zum Selbstschutz ein. Im Vorwort schreiben die Autorinnen und Autoren:

Die politische Bedeutung des Themas erschwert eine sachliche Diskussion, berührt sie doch die Grundlagen unseres Lebens im digitalen Zeitalter. Daher sehen sich Mitglieder der Gesellschaft für Informatik veranlasst, dem interessierten Bürger und verantwortungsbewussten Informatiker Hintergrundinformationen zum Kontext der IT-gestützten Ausspähung bereitzustellen.

Die Antworten der FAQ-Liste sind nüchtern gehalten. Die GI macht zugleich deutlich, dass nicht überall eine definitive Antwort möglich ist und Kommentare erwünscht sind. Gesammelt gibt es die FAQ auch als PDF.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl