14.03.2024 Bargeld oder Kartenzahlung?

Hamburger Busse verkaufen keine Fahrscheine mehr

Wieder müssen wir uns mit dem Thema des zwangsweisen bargeldlosen Bezahlens beschäftigen. Dieses Problem hat uns unter der Überschrift "Zwangsdigitalisierung" schon oft betroffen. In der ver.di Information lesen wir:

Indirekt geht es auch hier um Geld, allerdings nicht um das wie viel, sondern um das wie, genauer:

Das bargeldlose Bezahlen

Der Hamburger Verkehrsverbund (HVV) hat mit Beginn des Jahres die Barzahlung in den Bussen abgeschafft und begründet dies im Wesentlichen mit hygienischen Gründen, verkürzten Standzeiten an den Haltestellen und einer erhöhten Sicherheit für das fahrende Personal. Weiter argumentiert der HVV, dass in der jüngsten Vergangenheit ohnehin nur noch sechs Prozent der Fahrgäste bar gezahlt hätten.

Wie gesagt, das Projekt begann am 1. Januar und wie viele zukunftsweisende Projekte im deutschen Verkehrsbereich schien auch dieses von bösen Geistern verfolgt: Schon kurz nach dem Start waren die Prepaidkarten vergriffen und zeitweise nicht verfügbar. Wieder einmal wurde hier zu kurz gedacht, denn leidtragend sind die, die ganz bewusst auf eine digitale Zahlung verzichten oder es sogar müssen, z.B. weil sie sich kein Smartphone leisten können oder dessen Bedienung schlichtweg nicht beherrschen. Hier wird wieder einmal die Lösung für ein organisatorisch-strukturelles Problem auf dem Rücken der Senior*innen oder Menschen mit Beeinträchtigungen gesucht.

Der BSV fordert schon seit langem das Recht auf analog ein und hat dazu im vergangenen Jahr auf dem ver.di-Bundeskongress auch erfolgreich den Antrag D 007 durchbringen können. Das Recht auf analog bedeutet aber nicht nur, dass es möglich sein muss einen Antrag auf Papier auszufüllen, sondern eben auch, dass die Fahrkarte mit Bargeld bezahlt werden kann.

Dazu gibt es viele Möglichkeiten. Wenn man sich umschaut, findet man pfiffige Transportdienstleister und Verkehrsverbünde die andere Lösungen gefunden haben, ohne dabei Senior*innen vor den Kopf zu stoßen, Menschen mit Beeinträchtigungen zu verprellen oder Mitbürgerinnen, die bewusst auf ein digitales Leben verzichten, auszugrenzen:

Die Deutsche Bahn versucht es mit Automaten auf den Bahnhöfen. In Potsdam oder Magdeburg, aber auch anderswo kann man seine Karte in den Fahrzeugen an einem Automaten erwerben. Auch so könnten die Anforderungen der HVV gelöst werden: Sicherheit und Hygiene für das Personal und Verkürzung der Haltestellenstehzeiten. Und die Fahrgäste brauchten keine App oder Prepaidkarte um einsteigen zu können. Wenn man will, geht eben vieles.

Dem ist nichts hinzuzufügen, denn, wie man sieht, geht es nicht um eine Problemlösung, sondern darum ohne Verstand mit aller Macht digitale Lösungen durchzudrücken. Und wieder werden damit Menschen diskriminiert, die sich die "digitalen Lösungen" nicht leisten können, sie physisch nicht bedienen können oder dies einfach nicht tun wollen.

Mehr dazu in InformatiV, Informationen für ver.di Senior*innen des Bundesseniorenvorstands (BSV)
Kategorie[34]: Zwangsdigitalisierung Short-Link dieser Seite: a-fsa.de/d/3zv
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8713-20240314-bargeld-oder-kartenzahlung.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8713-20240314-bargeld-oder-kartenzahlung.html
Tags: #Zwangsdigitalisierung #Busse #hamburg #Prepaidkarten #Verfügbarkeit #Pannen #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Persönlichkeitsrecht #Privatsphäre #Bargeld #Registrierung #persönlicheDaten #Bankdaten #Verhaltensänderung

25.02.2024 Spionagesoftware ist Bedrohung für die Demokratie

Mitarbeiter von EU Parlamentariern wurden überwacht

Das sagt der Dachverband der europäischen Bürgerrechtsorganisationen EDRi nach dem Fund von Überwachungssoftware auf den Smartphones bei zwei Mitgliedern und Mitarbeiter:innen des EU-Unterausschusses für Sicherheit und Verteidigung.

In einer Pressemitteilung stellen sie fest, dass "Eingriffe dieser Art eine Bedrohung für die Demokratie sind, da sie sich in Wahl- und Entscheidungsprozesse einmischen und die Integrität der öffentlichen Debatte untergraben".
"Wir erleben nicht nur Unsicherheit und Angst, sondern auch eine allmähliche Aushöhlung der zivilen Räume um uns herum. Der jüngste Skandal unterstreicht die dringende Notwendigkeit eines umfassenden EU-weiten Verbots von Spähsoftware, um die Privatsphäre des Einzelnen und die bürgerlichen Freiheiten zu schützen", sagt Itxaso Dominguez de Olazabal von EDRi in dem verlinkten Artikel von Netzpolitik.org.

Auch nachdem die Enthüllungen über die Pegasus Spyware in Griechenland, Spanien, Ungarn und Polen für Aufsehen gesorgt haben, machen weder EU Kommission noch das Parlament Versuche solche Software zu verbieten.

Wir hatten über diese Fälle berichtet.

Mehr dazu bei https://netzpolitik.org/2024/nach-spyware-fund-im-eu-parlament-buergerrechtsorganisationen-fordern-verbot-von-spionagesoftware/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3za
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8693-20240225-spionagesoftware-ist-bedrohung-fuer-die-demokratie.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8693-20240225-spionagesoftware-ist-bedrohung-fuer-die-demokratie.html
Tags: #Sicherheitsrisiko #Politiker #Griechenland #Polen #Ungarn #Spanien #EU #Parlament #Ukraine #Russland #Pegasus #Predator #Geheimdienste #Frieden #Krieg #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Demokratie

Brussels rocked by major spyware scandal: Urgent call for ban - European Digital Rights (EDRi)

The media reported a major attack on EU democracy with members of the European Parliament Defense Committee being the target of phone hacking

21.02.2024 eID des ePerso nicht mehr sicher?

Identität lässt sich auch hier stehlen

Die Antwort ist JEIN, denn ein anonymer Sicherheitsforscher mit dem Namen CtrlAlt hat zwar ein Beispiel aufgezeigt, wie ein Endgerät eines Anwenders durch eine über eine Pishing Mail erhaltene verseuchte App kompromittiert werden kann. Aber in so einem Fall gilt, wie bei allen Fällen, wo Menschen aus eigener "Dummheit" auf Angriffe hereinfallen - selbst schuld.

Mit dieser schnellen Antwort wollte sich Jürgen Schmidt, Leiter heise Security, nicht zufrieden geben und hat das Problem näher untersucht. Er geht vom Anspruch des eID-Verfahrens aus, den sich die Bundesregierung mal gestellt hatte und sagt: Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein.

Im weiteren nennt er zwei Verbesserungsmöglichkeiten, eine davon lässt sich schnell anwenden. Es wäre bereits eine Hilfe, wenn die Nutzer eine Liste des BSI einsehen könnten, welche Apps und welche Updates vertrauenswürdig seien und eventuell auch Hinweise zu aktuellen Fake Apps als Warnung. Das BSI prüft diesen Vorschlag zur Zeit.

Der zweite Vorschlag geht ans Eingemachte. Dazu muss man wissen, dass eine ID-Feststellung in der eID App mit einer URL der Form eid://... beginnt. Solche URL-Schemes gelten bereits seit einigen Jahren nicht mehr als sicher, vor allem, wenn sich jede App, also auch ein Trojaner, dort registrieren kann. Sowohl für iOS als auch für Android gibt es sogenannte Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern, wie Heise Security vorschlägt. Die Antwort des BSI auf diesen Vorschlag ist wesentlich zurückhaltender, denn der Ansatz der Universal Links würde "das Ziel der Interoperabilität und Offenheit/Transparenz des eID Systems deutlich einschränken".

Die eID für den ePerso war ja vor vielen vielen Jahren aus der Taufe gehoben worden, um auch Firmen die Möglichkeit zu geben eine sichere Identifikation ihrer Nutzer sicherzustellen. Über Jahre gab es praktisch keine sinnvollen Anwendungen und auch heute kommen die immer noch wenig genutzten aus dem Öffentlichen Dienst. Selbst der vor 2 Jahren eingeführte und von uns verurteilte Zwang zur Freischaltung der eID in jedem neu ausgegebenen Personalausweis hat die Nutzerzahlen kaum beflügelt.

Wir zitieren hier gern eine Meldung aus dem Jahr 2010: Notbremse beim E-Personalausweis ziehen „Die übereilte Einführung des neuen Personalausweises fällt der Bundesregierung schneller auf die Füße als befürchtet" (Die Linke fordert Verzicht auf ePerso ) und verweisen auf über 50 Artikel (s.u.) in denen wir uns mit dem Thema "ePerso" beschäftigen mussten. Wir geben allerdings gerne zu, dass eine verlässliche und sichere Identifikation immerhin eine sinnvollere Anwendung als die ebenfalls staatlich eingeführte (und inzwischen beerdigte) DE-Mail mit stückweise verschlüsselten Nachrichten wäre.

Mehr dazu bei https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html
und alle unsere Artikel zum ePerso https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePerso&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z6
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Tags: #eID #ePerso #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #Identitätsdiebstahl #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #Ergonomie #Datenpannen #Vertrauen #Pishing #Unschuldsvermutung #Verhaltensänderung #BSI #URL #App-Liste

16.02.2024 EMGR-Urteil: Grundrecht auf Privatsphäre

Hintertüren in Messengern verstoßen gegen Menschenrechte

So urteilte der Europäische Gerichtshof für Menschenrechte in dem Fall einer Klage eines russischen Bürgers gegen seinen Staat. Das Gericht stellte ganz generell fest, dass das massenhafte und anlasslose Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation das Grundrecht auf Privatsphäre verletzt. Der Kläger wehrte sich mit seiner Klage gegen ein umfassendes Überwachungsgesetz, das vom russischen Parlament 2016 beschlossen wurde.

Netzpolitik.org berichtet: "In seinem Urteil betont das Gericht, wie wichtig verschlüsselte Online-Kommunikation für die Privatsphäre und die Meinungsfreiheit ist. Zudem helfe Verschlüsselung gegen Daten- oder Identitätsdiebstahl. Eine wie von Russland geforderte Hintertür, etwa mittels eines hinterlegten Schlüssels, würde notwendigerweise die Privatsphäre aller Nutzer:innen des Dienstes verletzen."

Wink mit dem Zaunpfahl in Richtung EU

Dieses grundlegende Urteil muss für einige Regierungen in der EU wie ein "Wink mit dem Zaunpfahl" wirken und wird hoffentlich die unselige Diskussion zu einer EU-Chatkontrolle dämpfen. Gerade in den letzten beiden Jahren wurden entsprechende Maßnahmen, meist ohne eine gesetzliche Regelung, wie in Russland aufgedeckt. Wir haben über diese Skandale um die Verwendung der Überwachungsprogramme Pegasus und Predator in vielen Artikeln berichtet. Ihr illegaler Einsatz gegen Journalisten, Politiker und einfach Andersdenkende wurde in Griechenland, Spanien, Polen, Ungarn, ... aufgedeckt.

Verbotene Überwachung in Polen und Ungarn kommt ans Licht

Mehr als "Einzelfälle" sind inzwischen aus Polen und Ungarn bekannt, denn auch dort bröckelt die Mauer des Schweigens. So wurde in Polen eine Überwachungsliste der PiS Partei bekannt, auf der unter anderem ein ehemaliger Landwirtschaftsminister, ein Ex-Parlamentspräsident und sogar Ex-Premier Mateusz Morawiecki stehen soll. Die Enthüllung dieser Liste könnte das Ende für Jarosław Kaczyński bedeuten. Krzysztof Brejza, dessen Überwachung bereits letztes Jahr öffentlich wurde, sagt dazu: "Alles deutet darauf hin, dass Pegasus innerhalb der Partei verwendet wurde, um ‚Kompromat‘ zu sammeln, Fraktionsspiele zu betreiben und eine para-mafiöse Gruppe aufzubauen."

In Ungarn wurden die Enthüllungen von Péter Magyar, Ex-Mann der ehemaligen Justizministerin Judit Varga und selbst Profiteur der Fidesz, ans Licht gebracht. Netzpolitik.org schreibt: Judit Varga hatte damals als Justizministerin die Spähangriffe auf die Smartphones der Betroffenen bewilligt. Im Visier waren nicht nur kritische Journalist:innen und Oppositionellen, sondern auch Politiker aus Orbáns eigenem Lager. So wurde etwa der ehemalige Staatspräsident János Áder über die Telefone zweier seiner Leibwächter indirekt überwacht. Der Skandal führte jetzt zum Rücktritt der Justizministerin und Spitzenpoltikerin für die kommende Europawahl.

Wir brauchen jedoch mehr als Skandale und Rücktritte - wir alle müssen begreifen, dass Versuche die Ende-zu-Ende-Verschlüsselung der Kommunikation zwischen den Menschen durch Hintertüren zu brechen, ein grundlegender Verstoß gegen die Menschenrechte und die Privatsphäre jedes einzelnen Menschen darstellt.

Mehr dazu bei https://netzpolitik.org/2024/europaeischer-gerichtshof-fuer-menschenrechte-massenhafte-ueberwachung-in-russland-ist-illegal/
und https://netzpolitik.org/2024/ueberwachung-mit-pegasus-in-polen-und-ungarn-broeckelt-die-mauer-des-schweigens/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z1
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8684-20240216-emgr-urteil-grundrecht-auf-privatsphaere.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8684-20240216-emgr-urteil-grundrecht-auf-privatsphaere.html
Tags: #Urteil #EMGR #Klage #Russland #Polen #Ungarn #Staatstrojaner #EU #Pegasus #Predator #Unschuldsvermutung #Verhaltensänderung #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Informationsfreiheit #Privatsphäre #Journalisten

Neues Anti-Terror-Gesetz in Russland geplant: Hintertüren und dreijährige Vorratsdatenspeicherung – netzpolitik.org

Volle Breitseite gegen die verbleibenden Grundrechte: Falls die Duma einem aktuellen Gesetzentwurf zustimmt, baut der russische Staat die Überwachungsbefugnisse gegen seine Bürger massiv aus.

14.02.2024 Big Brother in Bayern

Verhaltensvorhersagen möglich ...

... aber beliebig fehlerhaft. Die Folgen von "Predictive Policing" sollte man sich stets vor Augen halten, bevor man sie auf die Menschen los lässt. Es kommt zu beliebig vielen "False Positives", also falsch Verdächtigten, die dann unter großen Schwierigkeiten ihre Unschuld beweisen müssen. Wie schwer es ist zu beweisen, dass man irgend etwas nicht getan hat, das wissen die Betroffenen nur zu gut.

Bereits in Hessen und NRW wird eine Software eingesetzt, die nun auch die Polizei in Bayern zu nutzen plant. Es handelt sich um die Analysesoftware "Vera", die wiederum auf Palantirs "Gotham" beruht. Die Junge Welt berichtet nun, dass der bayerische Landesdatenschutzbeauftragte, Thomas Petri, vom Landeskriminalamt fordert, den Testbetrieb der Software der geheimdienstnahen US-Firma Palantir einzustellen.

Data Mining = Rasterahndung

Die Software schaut sich "nur" die allgemein verfügbaren Daten der Menschen an und versucht daraus Muster zu erkennen. Wer war zum Zeitpunkt X wo, wer hat mit wem telefoniert, wer hat ähnliche Ansichten in (a-) sozialen Netzwerken geäußert wie der Verdächtige Y?

Aus der Vielzahl der analysierten Daten lassen sich Persönlichkeits- sowie Bewegungsprofile von Personen erstellen und daraus wieder Schlussfolgerung auf eigentlich private Verhaltensmuster ziehen. Schon vor mehr als 20 Jahren hatte sich das BVerfG mit der Rasterfahndung von Studenten nach den Terroranschlägen vom 11. September beschäftigt und eine Analyse von Daten Unverdächtigen/Unbeteiligten ausgeschlossen. Warum jetzt - ohne äußeren Anlass - dieser erneute Vorstoß? KI machts möglich.

Noch fehlt zumindest in Bayern eine Rechtsgrundlage für solche Software, doch im Koalitionsvertrag wird sie bereits gefordert. Frage: Warum sind die Menschen so blind, solche Parteien wie CSU und Freie Wähler zu wählen?

Mehr dazu bei https://www.jungewelt.de/artikel/469076.big-brother-in-bayern-der-einsatz-solcher-software-ist-gef%C3%A4hrlich.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yY
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8682-20240214-big-brother-in-bayern.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8682-20240214-big-brother-in-bayern.html
Tags: #DataMining #Rasterahndung #BigBrother #Bayern #PredictivePolicing #FalsePositives #fehlerhaft #Unschuldsvermutung #Verhaltensänderung #Polizei #Geheimdienste #Geodaten #Palantir #Vera #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Persönlichkeitsrecht #Privatsphäre

Big Brother in Bayern: »Der Einsatz solcher Software ist gefährlich«

Bayern: Stopp des Testbetriebs von »Vera« gefordert. Palantir-Produkt ermöglicht polizeiliches Data-Mining. Ein Gespräch mit Simone Ruf • Foto: Matthias Balk/dpa

10.02.2024 shim Bootloader mit Risiko "hoch"

Update inzwischen verfügbar

Der Open Source Linux Bootloader "shim" enthält eine Sicherheitslücke, mit der Angreifer eigenen Code einschleusen können. Die Warnung CVE-2023-40547 (CVSS 8.3, Risiko "hoch") beschreibt die Gefahr, dass bei einem solchen "Man in the Middle" Angriff in Speicherbereiche außerhalb des allokierten Bereichs geschrieben werden kann (Out-of-bound write primitive). Damit kann das ganze System kompromittiert werden.

Der einzige Zweck von shim als eine "triviale EFI-Applikation" ist der, dass damit auf handelsüblichen Windows-Computern auch andere vertrauenswürdige Betriebssysteme mit Secure Boot zu starten sind. Microsoft macht es mit SecureBoot und seinen EFI/UEFI Bootloadern anderen Systemen weiterhin schwer als System neben Windows installiert zu werden.

Ein Update auf shim 5.18 korrigiert die Sicherheitslücke und repariert auch weitere Schwachstellen. So war erst im Dezember 2023 eine Lücke im Secure-Boot auf BIOS-, bzw. UEFI-Ebene unter dem Namen "LogoFAIL" bekannt geworden.

Mehr dazu bei https://www.heise.de/news/Bootloader-Luecke-gefaehrdet-viele-Linux-Distributionen-9624201.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yU
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8678-20240210-shim-bootloader-mit-risiko-hoch.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8678-20240210-shim-bootloader-mit-risiko-hoch.html
Tags: #Microsoft #Windows #Diskriminierung #Ungleichbehandlung #OpenSource #Linux #Bootloader #UEFI #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen

UEFI-Schwachstelle LogoFAIL: Secure Boot mit manipulierten Bootlogos umgehbar

Sicherheitsforscher habe Schwachstellen beim Verarbeiten von Bootlogos auf BIOS/UEFI-Ebene entdeckt. Angreifer können Systeme kompromittieren.

03.02.2024 Alles was (un)recht ist

Bayern testet rechtswidrig Palantir

Heute gibt es nur eine Kurzmeldung, weil die Sache einfach so rechtswidrig ist. Netzpolitik.org schreibt: Der Polizei in Bayern fehlt eine Rechtsgrundlage für den aktuellen Testeinsatz von Palantir-Software. Der bayerische Datenschutzbeauftragte fordert, den Test der Analyse-Software einzustellen.

Selbst das BVerfG hat sich mit dem Thema Palantir schon beschäftigt und in seiner Palantir-Entscheidung vom 16. Februar 2023 festgestellt: Beim Einsatz solcher Software kommt es zu erheblichen Grundrechtseingriffen.

Mehr dazu bei https://netzpolitik.org/2024/automatisierte-polizeidatenanalyse-bayern-testet-rechtswidrig-palantir-software/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yM
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8671-20240203-alles-was-unrecht-ist.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8671-20240203-alles-was-unrecht-ist.html
Tags: #BVerfG # #BLKA #Palantir #Analysesystem #Bayern #Zweckbindung #DSGVO #Polizei #Geheimdienste #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Unschuldsvermutung #Verhaltensänderung #Verbraucherdatenschutz #Datensicherheit #Datenskandale

netzpolitik.org

netzpolitik.org - Online-Medium für digitale Freiheitsrechte

Workshop zum Safer Internet Day am 13.2.

Persönliche Daten sollen Privatangelegenheit bleiben

Heute in zwei Wochen am 13. Februar ist der Safer Internet Day und wie in jedem Jahr gibt es bundesweit wieder viele Veranstaltungen, in denen darüber diskutiert wird, wie wir mit der Digitalisierung leben wollen.

Wo sind die Chancen und wo die Risiken der Digitalisierung?

Mit diesem Thema beschäftigen wir uns seit unserer Vereinsgründung vor 15 Jahren. Als eines der wichtigsten Themen hat sich in den letzten Jahren herausgeschält, dass wir verhindern müssen, dass die großen Internetkonzerne

• unsere persönlichen Daten nutzen und weiter verkaufen,
• mit unseren Daten immer reicher werden,
• sie uns mit unseren eigenen Daten steuern und manipulieren können,
• die Chancen für kleine Start-Ups praktisch auf Null schrumpfen.

Wir haben unsere Erkenntnisse dazu vor einiger Zeit in einem Artikel zusammengefasst "Persönliche Daten sollen Privatangelegenheit bleiben"

Diese Erkenntnisse sind uns nicht in einer "Erleuchtung" zugefallen, sondern wir mussten darauf stoßen durch die Hunderte von Datenskandale, die die großen Internetkonzerne, wie Google, Facebook, WhatsApp, Twitter, Instagram, u.a. zu verantworten haben. Im wesentlichen gehen diese Skandale fast immer auf die Big5 zurück, Google, Amazon, Facebook, Apple, und Microsoft (GAFAM).

Unsere Veranstaltung zum Safer Internet Day am 13. Februar

Am Dienstag, den 13.2. wollen wir von 19-21 Uhr in Berlin im Linkstreff Wedding, Malplaquetstr. 12, Nähe U-Leopoldplatz mit allen Interessierten wieder einmal darüber ins Gespräch kommen, wie wir durch die Nutzung scheinbar "kostenloser" Internetdienste, wie Google, Facebook, WhatsApp, Twitter, Instagram, TikTok u.v.m. unsere Privatsphäre an diese Internetgiganten ausliefern.

Gemeinsam wollen wir am Safer Internet Day darüber sprechen

• wo überall unsere persönlichen Daten gefährdet sind,
• was wir persönlich dagegen tun können,
  • welche Maßnahmen wir von den verantwortlichen Politikern erwarten.

Dieser Workshop kann nur als erster Einstieg in das Thema dienen, um uns über die Gefahren klar zu werden, denen wir uns durch die Nutzung solcher Dienste ausliefern. Wir werden auch über bessere Alternativen sprechen, z.B. sichere, verschlüsselte und freie Messenger, ohne diese in der kurzen Zeit dieses Workshops genauer analysieren zu können. Aber in Folgeveranstaltungen bei unseren regelmäßig stattfindenden Offenen Treffen wird dies möglich sein. Wir treffen uns monatlich meist an einem Dienstag am gleichen Ort. Die Termine finden sich stets in unserem Kalender.

Wir bitten für den Safer Internet Day um Anmeldung unter kontakt@aktion-fsa.de , da nur eine begrenzte Anzahl Gäste in unserem Raum im "Linkstreff Wedding" Platz finden können.

Mehr dazu bei https://www.aktion-freiheitstattangst.org/de/articles/7898-20220118-persoenliche-daten-sollen-privatangelegenheit-bleiben.html
und https://www.klicksafe.de/sid24/veranstaltungen/meine-daten-gehoeren-mir-1
Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3yF
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8666-20240130-workshop-zum-safer-internet-day-am-132.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8666-20240130-workshop-zum-safer-internet-day-am-132.html
Tags: #SaferInternetDay #SID #Linkstreff #Workshop #Chancen #Risiken #Digitalisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Informationsfreiheit #Anonymisierung #Hacking #Trojaner #Cookies #Verschlüsselung #GAFAM #Big5 #Messenger

Safer Internet Day 2024: Karte mit Veranstaltungen

27.01.2024 EU beschließt Bargeldobergrenze
"De-Cashing" ist kein Selbstläufer

Gegen die deutsche Mentalität mit dem Sparstrumpf unter dem Kopfkissen kommt die Idee der Abschaffung des Bargelds schwer an. Im Gegensatz zu unseren nordischen Nachbarn zahlen die Deutschen immer noch gern mit Bargeld. Trotzdem ist der Internationale Währungsfonds (IWF) nach einem Papier von 2017, „The Macroeconomics of De-Cashing“, in dem aufgeschrieben wurde, wie Regierungen das Bargeld beseitigen könnten, der Meinung:

„Die Behörden vieler Länder haben bereits erste Schritte unternommen, um Bargeldtransaktionen zu begrenzen. (...) Auch der Privatsektor scheint Bargeld am liebsten loswerden zu wollen.“

Bis es zur freiwilligen Selbstaufgabe kommt, empfiehlt das Papier

• die schrittweisen Abschaffung großer Banknotenstückelungen,
• die Festlegung von Obergrenzen für Bargeldtransaktionen und
• die Meldung von Bargeldbewegungen über die Grenzen hinweg. (durch umfassende Kontrollen? auch im Schengenraum?)

Zur Begründung für die Maßnahmen werden die (hohen) Kosten für Bargeld angegeben, ohne diese Kosten (ca. 0,3% in DE) mit den Kosten digitaler Transaktionen zu vergleichen. Real ist das wieder einmal eine Verschiebung der Kosten auf den Endkunden für seine Kreditkarte, für seinen Internetanschluss, ... Die Obergrenze für Barzahlungen in der EU ist auf jeden Fall erst einmal auf 10.000€ beschränkt.

Weitere Probleme, die digitale Zahlungen erzeugen können beschreibt unser Ehrenmitglied Edward Snowden in "Der Kampf um das Bargeld" und "Bargeldverbot oder Helikoptergeld?". So nach seiner Erkenntnis "... Eine digitale Zentralbankwährung ist auch keine Übernahme des Konzepts der Kryptowährung auf staatlicher Ebene [...] Stattdessen ist eine digitale Zentralbankwährung eher eine Perversion der Kryptowährung [...] – eine kryptofaschistische Währung, [...] die [...] ausdrücklich dazu bestimmt ist, ihren Nutzern das grundlegende Eigentum an ihrem Geld zu verweigern und den Staat als Vermittler jeder Transaktion einzusetzen.“

In verschiedenen EU Staaten gab es in letzter Zeit sogar Maßnahmen, um den Abschaffungstendenzen entgegen zu wirken. In Italien wurde die Barzahlungsobergrenze auf 2.000 Euro verdoppelt und verschiedene andere Anti-Bargeld-Maßnahmen wurden beendet. Die Slowakei hat ein (allerdings schwaches) Recht auf Barzahlung in der Verfassung verankert, Norwegen hat die Annahme von Bargeld verpflichtend gemacht.

Mehr dazu bei https://norberthaering.de/bargeld-widerstand/eu-bbargeldobergrenze-iwf/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yC
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8663-20240127-eu-beschliesst-bargeldobergrenze.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8663-20240127-eu-beschliesst-bargeldobergrenze.html
Tags: #Datenskandale #Bargeld #Zentralbanken #eCash #decashing #Persoenlichkeitsrecht #Privatsphaere #Grundrechte #Freizuegigkeit #Ueberwachung #Bankdaten #IWF #Verbraucherdatenschutz #Datenschutz #Datensicherheit #EdwardSnowden

EU beschließt Bargeldobergrenze, laut IWF der beste Einstieg in die Bargeldbeseitigung – Geld und mehr

25.01.2024 Trainiert MS ihre KI mit unseren Daten?

Wohin gehen unsere Daten?

AGBs lesen ist mühsam, entweder sie sind viele Seiten lang und man findet die wichtige Sätze nicht oder sie sind so kryptisch formuliert, dass man alles mögliche darunter verstehen kann. Die Mozilla Foundation, das ist die Stiftung, die den Firefox Browser und das Mailprogramm Thunderbird unterstützt, hat 9 ExpertInnen beauftragt, die AGBs von Microsoft daraufhin zu untersuchen, ob Microsoft die Daten seiner Nutzer zum Training von KI verwendet.

Die ExpertInnen konnten Mozilla keine klare Antwort geben. Nun hat Mozilla eine Webseite aufgemacht, wo man Microsoft direkt fragen kann. Die Annahme ist, dass Microsoft zu einer Antwort gedrängt wird, wenn genügend Menschen danach fragen. Mozilla sagt dort:
"Trainiert ihr eure KI mit unseren persönlichen Daten?

Wir haben 4 Jurist*innen, 3 Datenschutzexpert*innen und 2 Aktivist*innen beauftragt, den neuen Servicevertrag von Microsoft unter die Lupe zu nehmen. Keinem der Profis gelang es, dem Dokument zu entnehmen, ob Microsoft plant, Ihre persönlichen Daten – darunter Audio- und Videodaten, Chatprotokolle und Dateianhänge aus 130 Produkten wie Office, Skype, Teams und Xbox – zum Training seiner KI-Modelle zu nutzen.

Wenn 9 Datenschutzexpert*innen nicht verstehen, wie Microsoft Ihre Daten nutzen wird – wie sollen Normalverbraucher*innen da durchblicken? Wahrscheinlich gar nicht. Deshalb fordern wir Microsoft auf, Klartext zu reden, ob das Unternehmen persönliche Daten zu KI-Trainingszwecken einsetzt."

Auf der verlinkten Seite kann sich der Frage an Microsoft anschließen. Wir sind auf eine Antwort gespannt ...

Mehr dazu bei https://foundation.mozilla.org/de/campaigns/microsoft-ai/?utm_source=newtab&utm_campaign=23-MS-AI&utm_medium=firefox-desktop&utm_term=de&utm_content=banner_I2-C1
und alle unsere Artikel zu Microsoft und Datenverlusten https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=microsoft+verlust&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yA
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8661-20240125-trainiert-ms-ihre-ki-mit-unseren-daten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8661-20240125-trainiert-ms-ihre-ki-mit-unseren-daten.html
Tags: #Anfrage #KI #BigBrother #Gefahren #Microsoft365 #Teams #Skype #Lauschangriff #Überwachung #Videoüberwachung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #PrivacyShield #SafeHarbor #USA #Big5 #Apps #Privatsphäre #Verluste

Trainiert Microsoft seine KI mit unseren persönlichen Daten? Fragen Sie nach!

Mozilla ist eine globale gemeinnützige Organisation, die sich zum Ziel gesetzt hat, das Internet als globale öffentliche Ressource zu erhalten, die offen und für alle zugänglich ist.

23.01.2024 Die Schweiz zahlt und die NSA liest mit

Eine Geheimdienststory und der Kampf für Verschlüsselung

Adrienne Fichter schreibt auf Republik.ch über die Geschichte einer Überwachungssoftware in der Schweiz, die 2013 nach der Revision des "Bundes­gesetzes betreffend die Überwachung des Post- und Fernmelde­verkehrs", kurz Büpf, angeschafft wurde. Wie es sich für eine Geheimdienststory à la Edward Snowden gehört, gehört dazu ein Whistleblower, ohne den die für die Schweiz peinliche Geschichte nie ans Licht gekommen wäre. PS. Edward Snowden ist seit 2013 Ehrenmitglied in unserem Verein.

Für die lesenswerten Einzelheiten der Story verweisen wir auf Republik.ch und fassen nur die Kernpunkte zusammen

• Die alten Schweizer Überwachungsprogramme waren total veraltet. Schon für die Evaluierung der Alternativen werden Millionen Schweizer Franken ausgegeben.
• 112 Millionen Franken sind nun für ein neues Überwachungsprogramm vorgesehen.
• Gekauft wird die Software "Firefly" des israelisch-amerikanischen Unternehmen Verint für die "Echtzeit­überwachung von Telefonie und Internet und der Lokalisierung von Zielpersonen".
• Sie soll das Herzstück des "Verarbeitungs­systems zur Fernmeldeüberwachung FMÜ" werden, in dem alle Daten aus Telefonie, SMS, Standortortung und Internetverkehr zusammenfließen.
• Erste Erkenntnis des damaligen Waadtländer SP-Nationalrat Jean-Christophe Schwaab, wer bei einer Firma wie Verint Geräte bestelle, könne "den Schlüssel dazu gerade so gut gleich der NSA übergeben".
• Zweite Erkenntnis: Während 2013 mit dem alten System noch 3700 Echtzeitüberwachungen in der Schweiz durchgeführt wurden, ging es mit dem neuen steil bergab. 2018 gab es nur noch 1676 Maßnahmen.
• Dritte Erkenntnis: Schuld am Versagen der neuen Software ist indirekt unser Ehrenmitglied, denn nach den Snowden Enthüllungen über die weltweite Überwachung durch die NSA geben sich immer mehr Menschen Mühe verschlüsselte Verbindungen, beim Surfen z.B. HTTPS, zu nutzen. Die teure Überwachungssoftware konnte aber nur unverschlüsselten Internetverkehr lesen.

Der Whistleblower, im Artikel wie üblich John Doe genannt, fast zusammen: "Die Überwachungs­behörden kauften also für mehrere Millionen ein System ein – und plötzlich stellte die gesamte Internetwelt großflächig auf HTTPS um. Eine Riesen­demütigung!"

In der Folge gab es in der Schweiz, wie auch in vielen anderen Staaten in Europa vergebliche Versuche von Polizei und Geheimdiensten gegen Verschlüsselung vorzugehen. Der Bericht beschreibt dabei durchaus gefährliche Entwicklungen zu erweiterten Eingriffen des Staats in die nun oft verschlüsselte Kommunikation seiner Bürger. In Deutschland war dies die angeblich sichere DE-Mail (De-Mail ein "schlechter Witz"), die immer nur stückweise verschlüsselt war und "zum Kampf gegen Spam und Trojaner" von den Providern kontrolliert werden durfte.

Mehr dazu bei https://www.republik.ch/2024/01/15/die-irrwege-der-ueberwacher
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yy
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8659-20240123-die-schweiz-zahlt-und-die-nsa-liest-mit.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8659-20240123-die-schweiz-zahlt-und-die-nsa-liest-mit.html
Tags: #Schweiz #Polizei #Geheimdienste #Hacking #Israel #USA #Firefly #Verint #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #Datenpannen #Datenskandale #Verhaltensänderung #Snowden #Enthüllungen #Verschlüsselung

Republik

Kommen Sie jetzt an Bord.

Urteil gegen unverschlüsselte Mails

Unverschlüsselte Mail verstößt gegen die DSGVO

Endlich hat mal ein Richter kapiert, dass unverschlüsselte Mails einen Eingriff in die persönliche Privatsphäre darstellen. Ein Arbeitnehmer hatte geklagt, nachdem er von seinem Arbeitgeber nur unverschlüsselte Mail geschickt bekam. Heise.de berichtet: "Der Arbeitnehmer brachte vor, durch die Form der Datenübermittlung, eine zusätzliche Weiterleitung seiner Informationen an den Betriebsrat und eine unvollständige Auskunft, habe er einen immateriellen Schaden sowie einen Kontrollverlust erlitten."

Dafür wollte er Schadensersatz in Höhe von mindestens 10.000 Euro, den ihm der Richter des Arbeitsgerichts Suhl nicht zugestand. Er bekam aber Recht, dass der Versand einer unverschlüsselten Mail gegen die DSGVO verstößt. Die Richter beriefen sich dabei auch auf die Ansicht des Thüringer Datenschutzbeauftragten Lutz Hasse.

Eine Berufungsinstanz könnte den Schadensersatzanspruch eventuell noch einmal prüfen, denn der Europäische Gerichtshof (EuGH) urteilte am 14. Dezember, dass schon die Sorge, dass persönliche Daten missbraucht wurden, einen Schaden darstellen kann.

Die DSGVO erwähnt im Grundsatzartikel 5 nicht direkt die Forderung nach Verschlüsselung, fordert aber bei der Nutzung eine Abwägung nach "Stand der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen".

Deshalb verweist Heise.de auf den DSB in Hessen, der sagt: Als vergleichsweise sichere Kommunikationsmittel empfiehlt aber etwa auch der hessische Datenschutzbeauftragte Alexander Roßnagel insbesondere den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME) oder Portallösungen, "bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können".

Mehr dazu bei https://www.heise.de/news/Arbeitsgericht-Unverschluesselte-Mail-verstoesst-gegen-die-DSGVO-9592235.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3ym
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8647-20240111-urteil-gegen-unverschluesselte-mails.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8647-20240111-urteil-gegen-unverschluesselte-mails.html
Tags: #Mail #unverschlüsselt #Klage #Urteil #Arbeitnehmerdatenschutz #Persönlichkeitsrecht #Privatsphäre #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenskandale #Verhaltensänderung #Verschlüsselung #DSGVO

heise online

07.01.2024 Der fast gläserne Paypal Kunde

With Whom we share Personal Information

Diesen Bericht kann man kurz gestalten. Paypal, der weltweite Zahlungsdienstleister, sagt selbst - wie es rechtlich auch sein sollte - welche Daten seiner Kunden das Unternehmen mit welcher anderen Firma oder Behörde teilt. Übersichtlich ist noch die Liste der Staaten in den die Empfänger der Daten sitzen: France, Germany, Ireland, Spain, Netherlands, Bulgaria, Italy, Poland, Cyprus, Sweden, Austria, the United Kingdom, Tunisia, Egypt, El Salvador, the Philippines and the United States.

Die Liste der Unternehmen, die als Empfänger der Daten auftreten hat leider keine Nummerierung. Importiert in ein Open Office Dokument ist sie 87 Seiten lang. Vielleicht hat Paypal angenommen, dass bei dieser Menge sowieso niemand mehr genauer hinschauen wird. Unterteilt wird sie in 587 Zeilen, was aber wenig aussagt, da fast jede Zeile mehrere Unternehmen auflistet.

Der "beliebteste" Grund zum Weitergeben der Daten ist: To verify identity and carry out checks for the prevention and detection of crime including fraud and/or money laundering

also: Überprüfung der Identität und Durchführung von Kontrollen zur Verhinderung und Aufdeckung von Straftaten einschließlich Betrug und/oder Geldwäsche

Das wäre ja ein Grund, den man in einigen Fälle sogar verstehen könnte. Schwerer verständlich sind dann solche Gründe: To enable secure data transfer, also um eine sichere Datenübertragung zu ermöglichen. Die Datenübertragung wird sicher nicht sicherer, wenn ich mehr Institutionen mit Daten versorge ...

Welche Daten die aufgelisteten Unternehmen erhalten, ändert sich je nach Zweck, enthält aber meist: Email, names, accounting information. Die Menge kann sich aber auch erhöhen bis zu: Name, email, IP address, phone number, business banem business ID, business owner, IP address, user name, gender, date of Birth, Country Location, Place of Birth and Nationalitydevice identification, iZettle customers with personal accounts containing full name, details of account liabilities, debts and amounts owed to us, credit history information, repayment history, Merchant information and account history, VAT number, card/payment information, Organization_uuids, transactions, transaction value, details of user funding instruments, and government identification, customer’s spoken words, customer keyboard and cursor behaviour when using PayPal website or App, Social media login’s or identity tokens ...

Nach den "spoken words" - Jede/r von uns hat die Ansage "dieser Anruf wird zur Qualitätssicherung aufgezeichnet" schon einmal gehört - und den Tastaturanschlägen ist uns dann die Lust am Sammeln vergangen und wir überlassen die Liste den Kunden von Paypal, die sie wahrscheinlich zu 99% nie anschaut haben. Nichts davon hat jetzt schockiert aber unsere Vorbehalte gegen Internet Banking sind damit nicht kleiner geworden.

Mehr dazu bei https://www.paypal.com/ie/webapps/mpp/ua/third-parties-list
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yh
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8643-20240107-der-fast-glaeserne-paypal-kunde.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8643-20240107-der-fast-glaeserne-paypal-kunde.html
Tags: #Paypal #InternetBanking #Bankdaten #Verhaltensänderung #Datenweitergabe #Liste #Transparenz #Informationsfreiheit #Anonymisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Tastaturanschläge #CreditCard

List of Third Parties (other than PayPal Customers) with Whom Personal Information May be Shared

List of Third Parties (other than PayPal Customers) with Whom Personal Information May be Shared

02.01.2024 Zwei Beispiele von Hacks

"Create2"-Funktion von Ethereum missbraucht

Nicht nur das Gesundheitssystem weist in seiner Software Lücken und Fehler auf, auch Banksoftware ist nicht perfekt. Das gilt erst recht für diejenige von Kryptowährungen. Böswillige Akteure haben die "Create2"-Funktion von Ethereum missbraucht, um Sicherheitswarnungen für Wallets zu umgehen und Kryptowährungsadressen zu verändern. Die Folge davon war, der Diebstahl von Kryptowährungen im Wert von 60.000.000 US-Dollar von 99.000 Personen in den letzten 6 Monaten.

Create2 ist ein Code in Ethereum, der das Erstellen von Smart Contracts auf der Blockchain ermöglicht. Eigentlich handelt es sich um ein leistungsstarkes Tool für Ethereum-Entwickler, das fortschrittliche und flexible Vertragsinteraktionen, eine parameterbasierte Vorabberechnung der Vertragsadresse, Flexibilität bei der Bereitstellung sowie die Eignung für Off-Chain-Transaktionen ermöglicht.

Gelingt es Angreifern jedoch die Sicherheitswarnungen der Wallet zu unterdrücken, bzw. zu umgehen, so kann ein Opfer eine böswillige Transaktion unterzeichnen. Dann setzt der Angreifer einen Vertrag an der vorberechneten Adresse ein und überträgt die Vermögenswerte des Opfers dorthin. Shit happens!

Royal ransomware asked 350 victims to pay $275 million

Auch die zweite verlinkte Meldung zeigt ein Beispiel, wo durch unsichere Netzwerke Angreifer Zugriff auf wertvolle Daten bekommen. In diesem Fall handelt es sich sogar um Gesundheitsdaten, allerdings Institutionen des Department of Health and Human Services (HHS) in den USA. FBI und die CISA haben in einer gemeinsamen Mitteilung bekannt gegeben, dass die Royal Ransomware-Bande seit September 2022 in die Netzwerke von mindestens 350 Organisationen weltweit eingedrungen ist.

Danach haben sie mit Ransomware-Operationen, also der Verschlüsselung oder Entführung von Datenbeständen Lösegeldforderungen in Höhe von mehr als 275 Millionen US-Dollar erhoben. Die Forderungen reichen im Eizelfall von 250.000 Dollar bis zu mehreren Millionen Dollar.

Den Behörden in den USA ist es bisher nicht gelungen die Akteure der Angriffe zu enttarnen. Sie konnten jedoch an den Angriffsmustern erkennen, dass um den Jahreswechsel 22/23 ein "Rebranding" stattgefunden haben muss. Während sie anfangs Ransomware-Verschlüsselungsprogramme von anderen Unternehmen wie ALPHV/BlackCat verwendeten, ist die Bande inzwischen dazu übergegangen, eigene Tools einzusetzen. Neuerdings wurde die Malware aktualisiert, um auch Linux-Geräte bei Angriffen auf virtuelle VMware ESXi-Maschinen zu verschlüsseln.

Das Interesse der Hacker an Linux beweist, dass gerade in der Serverlandschaft inzwischen auch bei Unternehmen vermehrt Linux an Stelle von Windows-Servern eingesetzt wird. Das ist gut für Open Source, beweist aber auch, dass auch Linux nicht unfehlbar ist. Der Artikel verweist aber auch daruf, dass oft bei diesen Angriffen der menschliche Faktor den entscheidenden Fehler begeht, in dem Pishing Mails als Einfallstor genutzt werden.

Mehr dazu bei https://www.bleepingcomputer.com/news/security/fbi-royal-ransomware-asked-350-victims-to-pay-275-million/
und https://www.bleepingcomputer.com/news/security/ethereum-feature-abused-to-steal-60-million-from-99k-victims/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yc
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8638-20240102-zwei-beispiele-von-hacks.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8638-20240102-zwei-beispiele-von-hacks.html
Tags: #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Fatenpannen #Pishing #Ransomware #Etherum #Kryptowährung #Gesundheitsdaten #Erpressung #eHealth

01.01.2024 Gesundheitsdaten in Gefahr

Sensible Daten müssen geschützt werden

Vor allem müssen sie möglichst nicht zentral gesammelt werden - am besten ist es natürlich, sie werden gar nicht erst erfasst. Immer wieder lesen wir Kommentare auf unsere Kritik an der elektronischen Patientenakte (ePA), dass es doch gut wäre, wenn man Doppeluntersuchungen vermeiden könnte und jederzeit auf alle für den Patienten erhobenen Daten zugreifen könnte.

Dazu müssen wir leider immer wieder feststellen:

• Keine zentrale Datensammlung ist sicher. Das haben auch Hacker insbesondere für Gesundheitsdaten auf dem 37. CCC Kongress wieder unter Beweis gestellt (Gesundheitsdaten nur bedingt sicher ).
• Mammut-IT-Projekte kosten Unsummen, bringen nur marginale Ergebnisse und erhöhen die Gefahr für unsere Daten (s. alle Berichte über die mehr als 6 Milliarden Euro für die eGK - eine Plastikkarte mit Foto).
  • Die für uns maximal zulässige Instanz für eine zentrale Sammlung wäre die eigene Krankenkasse. Hier könnte uns die Politik sogar entgegenkommen, wenn sie statt Hunderter Krankenkassen eine-für-alle schaffen würde, einschließlich der Privatversicherten.
• Die Relevanz unserer Gesundheitsdaten für die Forschung nutzt vor allem den Pharmariesen.
• Die Pseudonymisierung unserer Daten ist keine Anonymisierung und damit langfristig gefährlich.
• Unsere Gesundheitsdaten sind überhaupt nicht relevant, da sie nur von den gesetzlich Versicherten stammen würden. Die Privatversicherten werden wieder einmal privilegiert behandelt.
• Das ab heute zwingend gültige eRezept wird sicher nicht ab heute Standard, weil auch die Ärzte es nicht wollen.
  • Wir lehnen weiterhin jede Zwangsdigitalisierung ab, weil sie für viele das Leben schwerer anstatt leichter macht.

Wir verweisen auf einen offenen Brief, den ein Bündnis aus vierzehn zivilgesellschaftlichen Organisationen und Sicherheitsforscher, darunter CCC ebenso wie der Verbraucherzentrale Bundesverband, unter der Überschrift "Vertrauen lässt sich nicht verordnen" an die Verantwortlichen für unsere Gesundheitspoltik verschickt haben. Sie fordern darin, wie Heise.de berichtet, Korrekturen an den Plänen zur weiteren Digitalisierung des Gesundheitswesens, der Mensch sollte dabei im Zentrum stehen.

Kritisiert wird auch, dass künftig bei der Ausgestaltung des "Gesundheitsdatenraums" das Bundesamt für Sicherheit in der Informationstechnik und der Bundesbeauftragte für Datenschutz und die Informationsfreiheit lediglich "ins Benehmen gesetzt werden" sollen und kein echtes Mitspracherecht haben sollen. Auch die Patienten selbst sollen weitgehend außen vor bleiben. So ist bisher nirgends geplant, ihnen eine Nutzen, z.B. durch individuelle Informationen zu ihrem Gesundheitszustand, zukommen zu lassen, wenn die angeblich so wichtige Forschung mit ihren Gesundheitsdaten (lebens-) wichtige Ergebnisse bringen sollte.

Selbst eine Gemeinwohlorientierung der Forschungsergebnisse aus unseren Gesundheitsdaten ist nirgends festgeschrieben. Auch hier wird stattdessen nur Politik zur Gewinnmaximierung für die Pharmariesen gemacht.

Bei aller Kapitalismuskritik vergessen wir nicht die vielen Datenschutzmängel:
Alle unsere Artikel zu ePA+Datenverlusten https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePA+verlust&sel=meta

Mehr dazu bei https://www.heise.de/news/Elektronische-Patientenakte-Zivligesellschaft-und-Sicherheitsforscher-warnen-9572354.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yb
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8637-20240101-gesundheitsdaten-in-gefahr.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8637-20240101-gesundheitsdaten-in-gefahr.html
Tags: #eGK #ePA #seconduse #Profit #Forschung #Lücke #Widerspruch #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Freiwilligkeit #Zustimmung #Einwilligungserfordernis #elektronischePatientenakte #CCC #Skandale #RFID #elektronischeGesundheitskarte #eHealth #Zwangsdigitalisierung #Gematik

heise online

30.12.2023 Data Mining auf US Telefondaten

Wozu können Telefondaten genutzt werden?

Nach 15 Jahren in unserem Verein - wir feiern am 18.1.24 den 15 Gründungsgeburtstag - ist das eine unnötige Frage. Jahrelang haben wir bis zum Verbot durch BVerfG und EuGH gegen die Gesetze zur Vorratsdatenspeicherung (VDS) gekämpft. Die Speicherung allein von Metadaten - wer hat wann, wie oft, wie lange mit wem telefoniert - macht uns alle gläsern. Aus solchen Daten können auch leicht falsche Schlüsse gezogen werden und wir müssen dann als sogenannte False Positives "beweisen". dass wir etwas nicht getan haben. Das führt zu einer Umkehr der Unschuldvermutung, die eigentlich ein Grundpfeiler unseres Rechtsstaats sein sollte.

Nun berichtet Heise.de, dass ein geheimes Programm US-Strafverfolgungsbehörden auf Bundes-, Landes- und Kommunalebene ermöglicht auf die Telefondaten Millionen Unverdächtiger zuzugreifen.

• Erstens: Wie kann es für normale Polizeibehörden überhaupt ein geheimes Programm geben?
• Zweitens: Warum bringen die Telefonprovider solche Programme nicht sofort an die Öffentlichkeit, wenn sie dazu angefragt werden?

Denn heraus kam das Vorgehen nur durch die Analyse von durchgesickerten Polizeidokumenten durch das US-Magazin Wired. Man hatte mit der Hilfe des Telekommunikationsunternehmens AT&T eine Analyse von Anrufdetails durchgeführt. Solche Kettenanalysen sollten helfen, Kontaktnetzwerke aufzudecken, die über direkte Verbindungen zu Verdächtigen hinausgehen. Das ist weit mehr als nur die Speicherung von VDS-Daten, das ist Data Mining also die bei uns weitgehend verbotene Rasterfahnung.

So hat auch US-Senator Ron Wyden in einem von Wired veröffentlichten Brief an das Justizministerium "ernsthafte Bedenken hinsichtlich der Rechtmäßigkeit", schreibt Heise.de. Dabei ist das DAS genannte Programm (Data Analytical Services) nicht neu, sondern wurde bereits erstmals von der New York Times im Jahr 2013 öffentlich gemacht. In diesem Programm werden täglich vier Milliarden Einträge gespeichert. Skandalös ist, dass dieses Programm seit Jahren verdeckt finanziert wird und auch Präsident Joe Biden dafür erneut eine finanzielle Unterstützung in Höhe von 6 Millionen US-Dollar zur Verfügung gestellt hat.

Mehr dazu bei https://www.heise.de/news/US-Polizei-hatte-Zugriff-auf-Telefondaten-Millionen-Unverdaechtiger-9539654.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Tags: #DataMining #Rasterfahndung #Telefondaten #VDS #USA #AT&T #FalsePositives #Unschuldvermutung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Datenverluste #Wired #Biden #NYT #FBI #Polizei #Rechtsstaats #geheim #Cyberwar #Hacking #Transparenz #Informationsfreiheit

heise online

29.12.2023 Gesundheitsdaten nur bedingt sicher

KIM = Kaos in der Medizin

Eigentlich sollte KIM ein sicherer E-Mail Service für die Medizin, also die Kommunikation zwischen Krankenkassen und Ärzten sein. Etwas ähnliches gibt es auch seit Jahren im Bereich der Justiz für Gerichte und Anwälte. Insofern handelt es sich nicht um die grandiosiste Innovation.

Trotzem ging es schief. Wie auf dem 37. CCC Kongress in Hamburg von dem Münsteraner Sicherheitsforscher Christoph Saatjohann vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Münster und Sebastian Schinzel berichtet wurde, haben insgesamt acht Krankenkassen durch die Gematik den gleichen S/MIME-Key erhalten. Sichere E-Mail beruht auf dem seit den 80-iger Jahren von Phil Zimmermann entwickelten Public-Private-Key Verfahren. In öffentlichen Einrichtungen geschieht das nach dem Standard X.509, während im privaten Umfeld Jede/r seine Schlüsselpaare selbst generieren kann.

Wenn jedoch die Zertifizierungsstellen (CAs) für verschiedene Akteure die gleichen Schlüssel verteilen, dann war es das mit der Sicherheit sensibler medizinischer Daten. Das ist der GAU in der PKI - der Public Key Infrastructure.

Laut den Sicherheitsforschern hatten, wie Heise.de schreibt, einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28% der Bürgerinnen und Bürger seien über diese acht Krankenkassen versichert gewesen. Dieser Vorfall war nicht der erste mit KIM. 2022 wurde eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems gefunden.

Künftig werden die Schlüssel nun monatlich auf Dopplungen geprüft.

Mehr dazu bei https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Tags: #KIM #Gematik #Telekom #Scheinsicherheit #CCC #X.509 #Zertifizierungsstellen #doppelt #Keys #Schlüssel #Email #PP #GPG #Verbraucherdatenschutz #Datensicherheit #Datenpannen #Datenskandale #eGK #ePA #Datenverluste #Anwaltspostfach

Besonderes elektronisches Anwaltspostfach: Anwälte sollen unterschreiben lassen

Mit dem Tausch der abgelaufenen Signaturkarten wählt die BRAK abermals eine sonderliche Lösung, die noch nicht von jeder Kanzleisoftware unterstützt wird.

27.12.2023 CCC Kongress wieder analog

CCC in Hamburg wieder zum "Anfassen"

So richtig analog und zum Anfassen startet in den letzten Tagen des Jahres wieder der CCC Kongress und diesmal (wieder) in Hamburg. Trotzdem werden die Veranstatungen auch im Stream zu sehen sein. Das Motto des 37. Chaos Communication Congress ist "Unlocked". Mehr als 130 Veranstaltungen finden vom 27. bis 30. Dezember im Congress Center Hamburg (CCH) statt. Netzpolitik.org berichtet über das Programm und die Highlights.

Die Themen sind

• Gesundheitsdigitalisierung,
• Online-Werbeindustrie,
• digitaler Migrationskontrolle
• KI,
• Killerroboter,
• Pushbacks,
• Chatkontrolle,
• das Hacken für die Zukunft,
• und vieles mehr ...

Mehr zu den einzelnen Veranstaltungen entweder direkt auf den Seiten des CCC oder in den verlinkten Artikeln von netzpolitik.org.

Mehr dazu bei https://netzpolitik.org/2023/chaos-communication-congress-netzpolitik-org-auf-dem-37c3/
und https://netzpolitik.org/2023/37c3-unsere-tipps-fuer-den-chaos-communication-congress/

Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3y5
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8631-20231227-ccc-kongress-wieder-analog.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8631-20231227-ccc-kongress-wieder-analog.html
Tags: #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Gesundheitsdigitalisierung #KI #AI #Drohnen #Roboter #Cyberwar #Hacking #Trojaner #eBorder #Freizügigkeit #Unschuldsvermutung #Chatkontrolle #Ergonomie #Datenpannen #Datenskandale

18.12.2023 Angreifer können Tastenanschläge einschleusen

Bluetooth besser ausschalten

... oder zumindest kontrollieren ob alle aktuellen Patche installiert wurden. Das betrifft fast alle Smartphones und Desktop Rechner stellt der IT-Sicherheitsforscher Marc Newlin fest, der sich nach dem Entdecken des Fehlers in Android Geräten auch auf anderen Plattformen umgesehen hat.

Auch dort hat er festgestellt, dass sich ohne Authentifizierung auf den Geräten Tastenanschläge einschleusen lassen. Damit können Angreifer Nachrichten weiterleiten, Apps installieren, beliebige Befehle ausführen - also praktisch das Gerät übernehmen.

Jede/r kann zum False Positive werden

Dieser Vorfall macht auch wieder deutlich, wie gefährlich Gesetze für die Betroffenen werden können, die die Unschuldsvermutung umkehren, denn wie beweise ich, dass ich etwas nicht getan habe, wenn es von oder auf meinem Gerät passiert ist?

Ursache noch unklar

Der IT-Sicherheitsforscher wird seine Erkenntnisse demnächst öffentlich vorstellen. Bis dahin ist es noch unklar, ob der Fehler grundsätzlich im Bluetooth Protokoll steckt oder ob es lediglich Fehler in den Implementierungen sind. Heise.de vermutet die "Schuld" auf beiden Seiten und führt eine Reihe von Patches für die verschiedenen Betriebssysteme auf, die mehr Sicherheit bringen können. Diese werden jedoch auf einigen Architekturen nicht standardmäßig bei Updates installiert. Bei den neuesten macOS- und iOS-Updates ist die Lücke wohl geschlossen.

Mehr dazu bei https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xV
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Tags: #Bluetooth #Tastaturen #Cyberwar #Hacking #Trojaner #Authentifizierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #FalsePositives #Unschuldsvermutung #Verhaltensänderung #MacOS #Linux #Android #iOS #Windows #Datenverluste

heise online

DigiG und GDNG beschlossen

Widerspruch zur ePA ... nun bald möglich

"Ein Widerspruch gegen ein Noch-Nicht-Gesetz ist nicht möglich." Das war die Aussage der BKK auf einen Widerspruch zur Zwangs-ePA im Frühsommer. Nun ist das Gesetz da und der Weg zum Widerspruch muss möglich sein. Lieber wäre es uns gewesen, wenn der Gesetzgeber im letzten halben Jahr dazu gelernt hätte und auf die Zwangs-ePA verzichtet hätte.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) rät nun:

"Am 14. Dezember 2023 hat der Bundestag in 2./3. Lesung das Digital-Gesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG) verabschiedet. Der Gesetzentwurf des DigiG sieht vor, dass die Krankenkassen ab dem 15. Januar 2025 verpflichtet sind, ihren Versicherten eine elektronische Patientenakte (ePA) zur Verfügung zu stellen, sofern die Versicherten nicht nach vorheriger Information innerhalb einer Frist von sechs Wochen gegenüber ihrer Krankenkasse widersprechen. Beide Gesetze sind noch nicht in Kraft getreten."

Danach kann es weiter vorkommen, dass Krankenkassen wie in dem oben beschriebenen Fall den Widerspruch nicht annehmen, eben weil die Gesetze noch nicht in Kraft sind. Spätestens nach der Unterschrift durch den Bundespräsidenten kann sich aber keine Kasse mehr rausreden. Wichtig ist der späteste Termin des Widerspruchs 6 Wochen nach einer Information über die Einrichtung der ePA durch die Krankenkasse.

Welche Gründe es gibt, gegen die Einrichtung einer ePA zu sein, haben wir in vielen Artikeln und auch in zwei Diskussionssendungen bei Alex TV im Offenen Kanal Berlin thematisiert.

• Probleme mit der elektronischen Patientenakte
• Diskussionsveranstaltung zur Engagementwoche am 14.9.20
• 02.01.2021 Probleme mit der elektronischen Patientenakte (ePA)
• Einen Entwurf für einen Musterbrief für den Widerspruch gibt es z.B. hier https://annaelbe.net/bilder_gesundheitskarte/Vorlage-Ablehnung-elektronische-Patientenakte.pdf

Weiterhin ist ein zentraler Kritikpunkt der ungehinderte Zugriff auf unsere Gesundheitsdaten durch (beliebige) "Forschungseinrichtungen", denn das bedeutet im Endergebnis, dass wir zu Versuchskaninchen der Pharmaindustrie werden. Aber auch die fehlende Segmentierung des Zugriffs z.B. auf psychologische Daten und der möglich Missbrauch durch nichtautorisiertes Krankenhauspersonal sind weiterhin zu kritisieren.

Außerdem sehen wir in dieser Zwangsdigitalisierung eine Diskriminierung der Menschen, die durch die Nicht-Inanspruchnahme von Smartphones und Laptops bereits in vielen Bereichen des Lebens von der Teilhabe ausgeschlossen werden.

Mehr dazu bei https://www.bfdi.bund.de/DE/Buerger/Inhalte/GesundheitSoziales/eHealth/WiderspruchgegendieePA.html
und alle unsere Artikel zur ePA https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePA+eGK&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xT
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8620-20231216-digig-und-gdng-beschlossen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8620-20231216-digig-und-gdng-beschlossen.html
Tags: #DigiG #GDNG #opt-out #eGK #ePA #Arbeitnehmerdatenschutz #Lücke #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Freiwilligkeit #Zustimmung #Einwilligungserfordernis #elektronischePatientenakte #CCC #Skandale #RFID #elektronischeGesundheitskarte #eHealth #Zwangsdigitalisierung #Gematik