Farmville erntet Datensalat

Erinnern wir uns nochmal an das Sommerloch 2010: Ganz Deutschland ist dem StreetView Wahn verfallen und jeder, der irgendwie in der Presse zur Geltung kommen möchte, richtet sein Fähnchen schnellstmöglich mit dem Wind, der Google aus Deutschland ziemlich heftig ins Gesicht weht.

Das dabei eine Menge heißer Luft in den Äther geblasen wurde, anstatt sich mit Sinn und Verstand dem Datenschutzthema zu widmen, zeigten auf amüsante Art solche geistige Eigentore wie das zum kurzzeitigen Internetmeme aufgestiegene Foto der vier rüstigen Rentner, die sich mit aller Macht gegen eine Fotografie ihres Hauses in StreetView wehren und sich dabei von der Presse, direkt vor besagtem Haus, mit Gruppenfoto und Namen ablichten lassen.
Mit ähnlich selektiver Wahrnehmung dem Ruf der Entrechteten folgend, traten auch einzelne Politiker auf den Plan, die mitunter sogar ein Google-Gesetz forderten, sozusagen eine in Stein gemeißelte Untersagung für Google, auf solch heimtückische Weisen den Bürgern ihre persönlichen Daten zu entreißen.

Die Gewinnerpartei in dieser Debatte war allerdings keine der beteiligten.
Die beiden neuen besten Freunde Steve Jobs und Mark Zuckerberg, die sich unlängst zum Essen trafen und die Übernahme der Weltherrschaft durch Ping planten, wurden mit kaum einer Silbe in der Presse erwähnt und so konnte sich inbesondere Facebook mit zwei Neuerungen davonschleichen, die die aufgebrachten Hausverpixeler vermutlich um einige persönliche Details mehr erleichtern könnte, als nur eine Hausfassade.

Dank Open Graph ist es für facebook nun ein Leichtes, ganz genaue Online-Bewegungsprofile nicht nur seiner, sondern aller Internetnutzer zu erstellen. Es hebe die Hand, wer schon einmal auf einen "Like"-Button geklickt hat.
Auch das neue "Places" von facebook ist mittlerweile an den Start gegangen. Anders als bspw. Google Latitude werden hier jedoch nicht nur die eigenen Geo-Informationen verlinkt, Nutzer können damit auch zeigen, wann und wo sie andere Personen gesehen haben. Würde darüber nur halb so umfangreich berichtet werden, wie über StreetView, es würde sich so manch einer zweimal überlegen, ob er heute wirklich noch "Überstunden im Büro" auf dem Plan hat.

Und wer jetzt noch sagt "Das betrifft mich nicht", der werfe einen Blick auf seine Facebook-App.
Farmville und Co teilen großzügig die Daten ihrer User mit zahlenden Unternehmen. Übrigens nicht nur die eigenen Informationen, sondern auch die der Freundeskontakte, nur für den Fall, das jetzt noch jemand mit "ich spiele nicht" argumentieren wollte.

Es zieht sich also aus der Affäre, wer guten Gewissens erst gar kein facebook Konto besitzt, oder doch nicht? Netter Versuch, aber auch nicht-Nutzer entgehen dem blauen Netz nicht. Die eigene, bei facebook ungenutzte E-Mail-Adresse reicht, um den im social network vertretenen Freundeskreis ausfindig zu machen. Der Adressbuchabgleich von  facebook machts möglich, auch ohne vorher zu verifizieren, ob die sich gerade scheinbar registrierende Person wirklich der Inhaber der Adresse ist.

Die Moral von der Geschichte: Hausfassaden fotografieren ist nicht okay, das Kommen und Gehen der Bewohner bei facebook zu verlinken dagegen schon. Glückwunsch.

Quellen:

• http://gizmodo.com/5666028/steve-jobs-and-mark-zuckerberg-break-bread-talk-ping
• http://developers.facebook.com/docs/opengraph
• http://www.facebook.com/places/
• http://www.heise.de/newsticker/meldung/Facebook-verraet-Kontakte-von-Nichtmitgliedern-1109075.html
• http://gizmodo.com/5666294/report-popular-facebook-apps-are-sharing-user-info-with-advertisers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+gizmodo/full+(Gizmodo)

Der neue Personalausweis - Teil 4 - Sicherheitslücken

Was nun kommt, ist dem Einzelnen nicht wirklich neu. Es geht um die bereits vor Wochen und Monaten veröffentlichten Tests, die zeigen, wie sicherheitskritisch die zusätzlichen Anwendungen des nPA bei unbekümmerter Nutzung sein können.

Der erste Beitrag dazu stammt aus dem Fernsehmagazin "plusminus". Den Reportern war es mithilfe des Chaos Computerclub e.V. gelungen, die Eingabe der Ausweis-PIN abzufangen. Machbar ist dies, wenn der Nutzer des Personalausweises einen Kartenleser aus der sogenannten Kategorie B, also ein Basislesegerät benutzt.
Basislesegeräte, also die Geräte, die für 24 Mio. Euro vom Bund an die Bürger verschenkt werden, besitzen im Gegensatz zu höherwertigen Geräten weder ein eigenes Eingabefeld (ab Standardlesegerät), noch eine eigene digitale Anzeige (nur Komfortlesegerät). Die Eingabe der PIN muss also über die Tastatur erfolgen, ein gefundenes Fressen für jeden Trojaner und Keylogger.
Natürlich wurde diese Sicherheitslücke sofort vom Bundesamt für Sicherheit in der Informationstechnik (BSI) relativert. Das Verfahren sei sicherer, als bisherige Zugangsverfahren im Internet und man verweist auf die übliche Mitwirkungspflicht der Bürger, ihre Sicherheitsmaßnahmen am heimischen PC auf dem neuesten Stand zu halten. Das ist eine legitime Stellungnahme, warum aber dann Geräte für eine Millionensumme verschenken, die das BSI im Umgang mit der PIN selbst als unsicher einstuft?

Wie heikel die Nutzung des nPA sein kann, das zeigte ein Beitrag von Bericht aus Brüssel. Auch hier wurde in Zusammenarbeit mit dem CCC gezeigt, welche Folgen Unachtsamkeit bei der Verwendung der Basislesegeräte haben kann.
Demnach wurde die PIN des Ausweises nicht nur abgefangen, sondern auch verändert und zurück auf den Ausweis gespeichert. Dies ist dann möglich, wenn der Nutzer des nPA diesen auf dem Lesegerät liegen lässt. Der RFID-Chip der Karte bleibt in Kontakt mit dem Lesegerät, und so wäre es den Eindringlingen möglich, Online-Geschäfte wie die Eröffnung eines Bankkontos zu erledigen. Umgekehrt sind all diese Möglichkeiten dem rechtmäßigen Inhaber der Karte dann verwehrt. Den Einbruchsversuch merkt er erst, wenn seine ihm bekannte PIN nicht mehr funktioniert. Nicht nur ist es unter Umständen dann schon zu spät, sondern es bleibt ihm dann auch nur noch der Weg ins Bürgerbüro wo er (für 6€) eine neue PIN einspielen lassen kann.

Bekennende Early Adopter sollten also, wenn sie ab 1. November ihre Papierkarte gegen den neuen elektronischen Ausweis eintauschen, einige grundlegende Regeln zur Sicherheit beachten. Zum einen gilt es jetzt umso mehr denn je, seinem PC die nötigen Abwehrkräfte zu verpassen. Ein aktueller Virenscanner (kostenlos zum Beispiel von Avira oder die Microsoft Security Essentials) gehört ebenso zum Pflichtprogramm, wie eine vernünftige Firewall. Beide Sicherheitseinrichtungen sind aber wirkungslos, wenn die genutzt Software selbst Lücken aufweist. Daher Betriebssystem, Browser und sonstige Programme wie Flash oder Adobe Reader regelmäßig updaten.
Außerdem sollten die Cat-B Geräte dankend abgelehnt und stattdessen etwas Geld in einen Kartenleser mindestens der Kategorie S investiert werden.
Nicht zuletzt darf die Karte dort auch nur in dem Moment zum Einsatz kommen, wenn Sie wirklich gebraucht wird.

Wer all diese Regeln auch noch im Kopf aufsagen kann, wenn er die Formulare für den Ausweis unterschreibt, der sollte der frühen Nutzung des nPA entspannt entgegenschauen können.

Quellen

• http://www.cio.bund.de/DE/IT-Investitionsprogramm/Aktivitaeten/Zuwendungsmassnahme_IT-Sicherheitskit/aktivitaeten_zuwendungsmassnahme_it_sicherheitskit_node.html
• https://www.bsi.bund.de/cae/servlet/contentblob/850316/publicationFile/51686/BSI-TR-03119_V1_pdf.pdf
• http://www.wdr.de/tv/bab/sendungsbeitraege/2010/0922/personalausweis.jsp
• http://www.heise.de/security/meldung/Elektronischer-Personalausweis-Sicherheitsdefizite-bei-Lesegeraeten-Update-1064338.html
• http://www.heise.de/security/meldung/CCC-zeigt-Sicherheitsprobleme-beim-elektronischen-Personalausweis-auf-Update-1083649.html

Der neue Personalausweis - Teil 3 - Sicher nur für Informatiker

Die Katze ist aus dem Sack, der neue Personalausweis heißt ab sofort nPA. Soweit die guten Nachrichten, da muss man weniger tippen. Nun zu den vermeintlich guten:

Das Bundesministerium des Inneren hat heute seine Begleitstudien zum nPA vorgestellt, mit denen die aus verschiedenen Kreisen laut werdenden Stimmen der Unsicherheiten hinsichtlich des Datenschutzes und der Angreifbarkeit des neuen Dokumentes besänftigt werden sollen. Wie beinahe zu erwarten war, erscheint jegliche Debatte um die Sicherheit der Daten damit erstmal in einem sehr viel positiveren Licht, als Kritiker den Bürger bisher glauben ließen.

Als kryptografisch sicher wird unsere zukünftige Identität im Scheckkartenformat betitelt. Dazu sollen vor allem Secure Messaging, das PACE-Protokoll (Password Authenticated Connection Establishment) und EAC (Extended Access Control, bereits bekannt aus dem neuen Reisepass) beitragen. Die Anhäufung solch wichtiger Großbuchstaben lässt schon erahnen, dass für Bürger ohne IT-nahe Ausbildung damit längst nicht alle Fragezeichen aus dem Gesicht verschwinden.
Von offizieller Seite holt man sich also mit Institutionen wie dem "Lehrstuhl für Bürgerliches Recht, deutsches und internationales Wirtschaftsrecht, insb. IT-Recht" von der Ruhr-Universität Bochum oder dem "Center for Advanced Security Research Darmstadt"  in erster Linie Beistand von Einrichtungen, die namentlich erstmal eine Menge Gewicht suggerieren, inhaltlich aber wahrscheinlich nur von einem geringen Teil der zukünftigen Ausweisinhaber verstanden werden.

Tatsächlich ist, wenn man aufmerksam zwischen den Zeilen liest, eben doch nicht alles so einfach, wie es im besseren Falle sein sollte. So sprechen die Vertreter der beauftragten Einrichtungen natürlich sehr deutlich von einer Mitwirkungspflicht der Bürger. Das System kann nur sicher sein, wenn der Nutzer, also jeder Bürger, seinen PC für die Nutzung der elektronischen Funktionen des nPA optimal in Schuss hält, also Anti-Viren-Programme und Firewalls in auf jeweils aktuellen Stand bringt.
Auch der Umgang mit dem neuen Dokument muss gelernt werden. Die Experten empfehlen die Nutzung von teureren Lesegeräten als die kostenlos vergebenen Basis-Stationen, außerdem sollten die Ausweise beispielsweise nur kurz zur Authentifizierung auf die Lesegeräte gelegt werden.

Fazit: Das größte Sicherheitsrisiko, wie sonst auch im Umgang mit elektronischen Systemen, ist also der Inhaber der Karte selber. Nur wer das nötige Vorwissen mitbringt, die im verborgenen agierenden Prozesse versteht und mindestens latente Kenntnisse in Sachen IT-Sicherheit aufweisen kann, der ist vermutlich auch im Stande, sich im Umgang mit seinem nPA sicher wähnen zu können. "Das war allerdings [in der Studie der Uni Potsdam] nur bei Informatikern der Fall", so Prof. Dr. Christoph Meinel.

Wie tief dieses Sicherheitsbewusstsein jedoch bei dem Normalbürger heutzutage bereits verankert ist, das kann man dank WEP- oder gar nicht verschlüsselter Netzwerke, sowie den PIN-Nummern auf vielen Rückseiten der roten Plastikschuber für Sparkassenkarten ja ungefähr erahnen.
Der nPA ist sicher!

Quellen

• http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2010/mitMarginalspalte/10/npa.html
• http://www.heise.de/newsticker/meldung/Lob-und-Tadel-fuer-den-elektronischen-Personalausweis-1108972.html

Der neue Personalausweis - Teil 2 - Das wird knapp

Wie es scheint, sehen der Einführung der neuen Karte nicht nur die datenschutzkritischen Bürger entgegen. Wo sich der Einzelne noch Gedanken um den Verbleib seiner Identität im digitalen Nirvana macht, kommen auf die Kommunen auf der anderen Seite des Tresens ganz andere, greifbarere Probleme zu. Wie die Formel1-Strecke in Südkorea eine Woche vor dem Rennen gleichen auch die Bürgerbüros der Städte mehr einer Baustelle als einem praxistauglichen Konzept.

Die IT-Infrastruktur verdient bundesweit gesehen ihren Namen eigentlich nur mehr schlecht als recht, und so ist es offenbar kaum noch zu erwarten, dass die benötigten Terminals für die Ausweise rechtzeitig in die jeweiligen Systeme der Kommunen eingebunden werden. Schade eigentlich, wo ist der Requirements Engineer, wenn man ihn mal braucht? Etwas mehr Geld im Vorfeld für eine ordentliche Anforderungsanalyse in die Hand zu nehmen schadet jedenfalls weniger, als zwei Wochen vor geplantem Launch zugeben zu müssen, dass eigentlich nichts funktioniert.

Wer jetzt noch nicht überzeugt ist, ob der neue Ausweis eine so tolle Sache ist, der kann sich schonmal ein Lunchpaket schnüren, denn ab 1. November wird Schlange stehen zur Kür. Warum? Die Mitarbeiter können ohne funktionierende Software nur eingeschränkt geschult werden. Wegen der sensiblen Funktionen der Karte, muss jeder Empfänger umfassend informiert und aufgeklärt werden und am Ende gibt es zudem einen ganzen Berg an Unterschriften zu leisten.
Es wird daher mit einer Verdreifachung der Wartezeit allein für die Ausgabe einer solchen Karte gerechnet. Was vorher also nur knapp 10 Minuten dauerte, nimmt jetzt eine halbe Stunde in Anspruch. Sind zwei Personen vor einem, kann man demnach gerne eine Stunde lang die Wand angucken.

Sollte man aber ruhig mal in Kauf nehmen, wenn man seine Online-Formulare in Zukunft nicht mehr selbst ausfüllen will.

Quelle:

• http://www.heise.de/newsticker/meldung/Wackelpartie-fuer-den-neuen-Personalausweis-1107092.html

Der neue Personalausweis - Teil 1 - Worum gehts eigentlich?

Ich bin kein großer Fan von unserer schicken laminierten Papierkarte mit dem peinlichen Foto. Man ist eigentlich verpflichtet, seinen Ausweis immer dabei zu haben, trotzdem hat das Ding ein so ungewohntes Format, dass sich in einem Portemonnaie nur mit Mühe in geeigneter Platz zum verstauen findet.

Folglich finde ich es natürlich nur zeitgemäß und richtig, dass dieses Relikt verbannt und durch eine schicke, multifunktionale Plastikkarte ersetzt werden soll; gar nicht mal um einer weiteren von eh schon unzähligen Karten Willen, sondern in der Hoffnung einer Konzentration von Leistungen auf wirklich nur eine Karte. "Gläserner Bürger" rufen sie da schon alle, sicherlich auch nicht ohne einen Funken Wahrheit, aber nur schlecht wäre es doch gar nicht.

Warum die Karte so grandiose Vorteile bieten soll, davon versuchten schon verschiedene Unternehmen auf der CeBIT zu informieren. Dank elektronischer Signatur wäre z.B. die qualifizierte Unterschrift im Internet möglich. Das geht natürlich bereits heute auch schon, etwa mit den Kundenkarten der Sparkassen, die auf der Rückseite ein "S-Trust" Logo haben. Nur stößt man hier in der Regel auf große Fragezeichen im Gesicht seines Beraters, wenn man ihn danach befragt.

Was soll der neue "Perso" also letztlich mehr können, als der alte?

• Online-Ausweis "eID" (Identifizierung des Teilnehmers bei Online-Geschäften)
• Unterschriftsfunktion mit qualifizierter elektronischer Signatur (z.B. notwendig bei Behörden im Internet)
• Alters- und Wohnortprüfung
• Automatisch Formulare ausfüllen
• Pseudonymer Zugang (das ist für mich übrigens der Widerspruch in sich: mein Ausweis loggt mich mit einem Pseudonym ein...?)

Alles ganz toll also. Oder? Datenschützer, IT-Sicherheitsexperten und sowieso all jene, die immer pauschal dagegen sind, wenn insbesondere vom Staat eine Neuerung kommt, haben schon lange ihre Bedenken hinsichtlich der Sicherheit dieser neuen Funktionen geäußert. Natürlich, je mehr Informationen auf einer einzelnen Karte stecken, desto mehr kann im dümmsten Fall verloren, im schlechtesten gestohlen werden.

Und noch eine Reihe von "Features" wird die Inhaber der neuen Ausweise erwarten, nämlich die Kosten. Hier mal ein Auszug:

• 22,80€ kostet der neue Ausweis (statt 8€), sofern der Antragsteller jünger als 24 ist.
• Wer 24 und älter ist, zahlt Vergreisungsaufschlag, die Karte kostet dann 28,80€
• Ein vorläufiger Ausweis schlägt obendrein nochmal mit 10€ zu Buche
• Außerdem wird bestraft, wer die Online-Ausweisfunktion nicht sofort nutzt: nachträgliches Aktivieren der eID kostet 6€
• Deaktivieren, sowie sperren bei Verlust kostet nichts, aber entsperren natürlich wieder 6€
• Und was man nicht im Kopfe hat, sollte man im Geldbeutel haben: PIN vergessen kostet weitere 6€ für die Rücksetzung

Das kann man allerdings auch noch positiv verkaufen, immerhin bewegen wir uns damit "weiter im Mittelfeld bei den Kosten für vergleichbare Dokumente in anderen europäischen Staaten", so wird dem Bürger zumindest aus dem Bundesinnenministerium versichert.

Gott sei Dank, dann gehts ja.

Quellen:

• http://www.personalausweisportal.de/cln_155/DE/Neue-Moeglichkeiten/neue-moeglichkeiten_node.html
• http://www.heute.de/ZDFheute/inhalt/10/0,3672,8096906,00.html

Back on track

When it comes to sports I'm much of the accountant type of guy. Whether it's running, swimming or working out in a gym, everything gets noted down somewhere. For the latter I prefer the somewhat obsolete method which is a small black book containing handwritten notes. Nothing you'd expect from an otherwise rather tech savvy guy but it turned out to be most simple and transferrable way. If you're one of those lucky fellas who got themselves a membership in a top notch gym using memory cards in their machines then you would probably shake your head about this. But try keeping that data at home or transferring it to another gym, like when you're on vacation or after moving house - almost impossible.

Since my first participation at the StrongmanRun in Weeze 2008, I began to keep track of my running exercises a little more carefully. This is when I got myself a Nike+ system for my old iPod Nano and it's been a huge motivation and training assistant since then.

The big downside of all that self-monitoring is the part where you stop your activities for a while and return to them after a serious period of time. After recovering from an injury that dragged me down the last couple of months I blew the dust off my running shoes, sync'd my iPod with some running tunes and came across the last entry in my Nike+ database... September 8th, 2009.

Long story short, not wanting to give up on running I put my old condition to the test and actually didn't fail completely. Where I was facing joint pain after just a kilometre a few months ago and stopped before it got worse I now got over 8km which is nice.

So here's my early pre-new-year resolution for 2011: Back on track and completing the half marathon in 3 months.