#datensicherheit

aktionfsa@diasp.eu

05.04.2024 Vernichtender CISA Untersuchungsbericht über Microsoft

Microsoft wurde "mächtiger Schlüssel" entwendet

Im letzten Sommer mussten wir über den GAU bei Microsoft berichten, über den bereits im Juni 23 entwendeten Masterkey. Nun hat das Cyber Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) seinen Untersuchungsbericht über den Verlust des Master Key für Microsoft Azure vorgelegt. Das Urteil lautet, zitiert nach Heise.de:

"Die US-Regierungsbehörde für Cybersecurity wirft Microsoft vielfaches Versagen bei der Cybersicherheit vor und empfiehlt, die Entwicklung neuer Features für die Cloud zurückzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind."

Wegen der Auswirkungen des Vorfalls muss das Cyber Safety Review Board der CISA den Bericht zu dem Vorfall an den US-Präsidenten vorlegen. Der Abschlussbericht enthält ein vernichtendes Urteil. Erst eine "Kaskade vermeidbarer Fehler" durch Microsoft habe den Angriff überhaupt erst möglich gemacht.

Microsofts Rolle für die US Wirtschaft und Sicherheit verlange, dass das Unternehmen höchste Standards bei Sicherheit, Verantwortlichkeit und Transparenz erfülle. Jedoch habe ein weiterer gravierender Sicherheitsvorfall bei Microsoft, der in diesem Januar bekannt wurde, das Vertrauen des Cyber Safety Review Board in Microsoft weiter untergraben.

Gut, dass wir bereits seit Jahrzehnten diesem Internetgiganten kein Vertrauen entgegen bringen ... und weiterhin auf freie Open Software Programme setzen.

Mehr dazu bei https://www.heise.de/news/Klatsche-fuer-Microsoft-US-Behoerde-wirft-MS-Sicherheitsversagen-vor-9674431.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3zU
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8736-20240405-vernichtender-cisa-untersuchungsbericht-ueber-microsoft.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8736-20240405-vernichtender-cisa-untersuchungsbericht-ueber-microsoft.html
Tags: #Masterkey #Microsoft #Exchange #AzureCloud #Outlook #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Zensur #Transparenz #CISA #Untersuchungsbericht #Anonymisierung #Verhaltensänderung #Verlust

aktionfsa@diasp.eu

29.03.2024 Bodycams auch in der Bahn?

Übergriffe auf Bahnmitarbeiter haben zugenommen

Netzpolitik.org berichtet aktuell darüber, dass die Deutsche Bahn ihre Zugbegleiter im Regionalverkehr mit Bodycams ausstatten will. Der Grund ist, dass es im letzten Jahr laut Deutscher Bahn rund 3.150 Mal zu Übergriffen auf Mitarbeitende des Unternehmens kam. Davon fanden zwei Drittel der Angriffe im Regionalverkehr statt.

Es wird angenommen, dass die Kameraaufnahme deeskalierend wirken wird. Tonaufnahmen sind nicht geplant. Ob die Aufnahmen gerichtsverwertbar sein könnten ist strittig. Dagegen liefern die von der Bahn im Regional- und S-Bahn-Verkehr inzwischen mehr als 50.000 eingesetzten Videokameras, "eindeutiges Beweismaterial".

Die Bodycam Aufnahmen werden verschlüsselt auf zentralen Servern gespeichert und nach 72 Stunden automatisch gelöscht.

Auch die Berliner Verkehrsbetriebe (BVG) planen ein ähnliches Projekt.

Mehr dazu bei https://netzpolitik.org/2024/deutsche-bahn-bodycam-als-zugbegleiter/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3zL
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8728-20240329-bodycams-auch-in-der-bahn.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8728-20240329-bodycams-auch-in-der-bahn.html
Tags: #Bodycam #Bahn #BVG #Verhaltensänderung #Deeskalation #Transparenz #Informationsfreiheit #Persönlichkeitsrecht #Privatsphäre #Verbraucherdatenschutz #Datenschutz #Datensicherheit

aktionfsa@diasp.eu

25.03.2024 Verschlüsselung als Standard

Taurus Abhöraffaire?

Nein, eigentlich müssen wir sogar 2-mal NEIN sagen, denn

  • erstens ist der eigentliche Skandal, dass deutsche (Bundeswehr-) Beamte während des Dienstes einen Angriff auf ein anderes Land planen,
  • zweitens Jede/r weiß, dass unverschlüsselte Kommunikation abgehört werden kann und auch wird, wie uns unser Ehrenmitglied Edward Snowden im Juni 2013 aufgedeckt hat.

Deshalb legt der verlinkte Artikel von Meredith Whittaker, Chefin des Messengers Signal bei Netzpolitik.org auch den Schwerpunkt auf den zweiten Punkt. Wenn wir über digitale Privatsphäre und Sicherheit diskutieren, dann tun wir das deshalb, weil eine sichere Verschlüsselung der Standard sein sollten. Eine verschlüsselte Kommunikation ist nur so stark wie ihr schwächstes Glied - wie die abgehörte Kriegsplanung wieder einmal gezeigt hat.

Jede Kommunikation muss Ende-zu-Ende verschlüsselt sein, nur dann kann jede/r TeilnehmerIn daran ruhigen Gewissens teilnehmen. Leider sind wir von diesem Standard weit entfernt und damit scheint Verschlüsselung als etwas, was nur die nutzen, die es "brauchen". Damit wird diesen Menschen unterstellt, etwas zu verbergen zu haben.

Deshalb brauchen wir in allen Kommunikationsmitteln eine sichere Verschlüsselung als Standard. Nur dann werden die oben geäußerten Verdächtigungen verschwinden und nur dann kann Privatsphäre wirklich gelebt werden. Ein erster Schritt dazu war z.B. unser Workshop über "Sichere Messenger" im Dezember 23.

Mehr dazu bei https://netzpolitik.org/2024/taurus-abhoeraffaere-privatsphaere-fuer-alle-oder-niemanden/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3zG
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8724-20240325-verschluesselung-als-standard.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8724-20240325-verschluesselung-als-standard.html
Tags: #Verschlüsselung #Standard #MeridithWhittaker #Signal #Taurus #Bundeswehr #erbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Unschuldsvermutung #Verhaltensänderung #Grundrechte

aktionfsa@diasp.eu

22.03.2024 Windows Server Probleme nach Update
Microsofts Active Directory nach Update wackelig

Sicherheitsupdates aus dem März Update für Windows Server mit Active Directories können das System lahmlegen, sagt Microsoft. Das betrifft vor allem Unternehmen, die das Active Directory nutzen. Private Windows User sind in der Regel von dem Fehler nicht betroffen.

Wenn der Fehler auftritt, so kommt es zu Performanceeinbußen und in einigen Fällen bleibt der Server stehen und startet dann neu. Ursache dafür soll der Local Security Authority Subsystem Service (LSASS) sein, der Speicherlecks auf den Domain-Controllern (DCs) haben kann. Ein Hinweis dafür ist, dass der On-Premise- oder Cloud-basierte Active Directory Domain Controller vermehrt Kerberos-Authentifizierungsanfragen verschickt.

Microsoft erklärt dazu, dass die Ursache erkannt ist und an einer Lösung gearbeitet wird, die in den nächsten Tagen verteilt werden soll. Heise.de berichtete, dass Microsoft bereits im Januar Probleme mit den Windows-Updates zum Patchday hatte. Damals ließen sie sich mit der Meldung eines Fehlercodes, 0x80070643, nicht installieren.

Mehr dazu bei https://www.heise.de/news/Microsoft-Maerz-Updates-koennen-Windows-Server-lahmlegen-9661470.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3zD
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8721-20240322-windows-server-probleme-nach-update.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8721-20240322-windows-server-probleme-nach-update.html
Tags: #WindowsServer #Probleme #Update #ActiveDirectory #Performance #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz

aktionfsa@diasp.eu

21.03.2024 Private Adresse öffentlich im Web?

Wie weiter mit der Impressumspflicht?

Für jeden Webauftritt muss es in Deutschland ein Impressum geben mit der Angabe der (privaten) Anschrift desjenigen, der die Inhalte ins Netz stellt. Der Staat ist auch sehr daran interessiert, die Daten derjenigen zu bekommen, die in sozialen Netzwerken ihre Meinung posten. Dazu gab es viele und auch einige gescheiterte Versuche, wie die Vorratsdatenspeicherung (VDS) und auch die Chatkontrolle kommt glücklicherweise nicht voran.

Wegen dieses Interesses war es auch logisch, dass alle Versuche die Impressumspflicht zu entschärfen und wenigstens von der privaten Anschrift zu entkoppeln, bisher auf taube Ohren gestoßen sind. In den letzten Jahren ist allerdings die Gefahr gewachsen, durch Angabe einer Privatadresse oder Telefonnummer zum Opfer von Stalkern oder rechten Gewalttätern zu werden.

Netzpolitik.org berichtet deshalb von dem Bemühen der Linksfraktion im Bundestag die Impressumspflicht zu verändern und zitiert Anke Domscheit-Berg von den Linken im Bundestag: "Seit Jahren haben wir als Linke im Bundestag dafür gekämpft, dass es eine Reform zur Impressumspflicht gibt, im Digitalausschuss alte und neue Digitalminister dazu befragt, Anträge bei Großer Koalition und Ampel gestellt und immer sind wir gegen eine Wand gerannt."

Das "immer wieder" hat scheinbar gewirkt, denn die Ampel hat einen Antrag im Digitalausschuss vorgelegt: Die Impressumspflicht werde "insbesondere von Journalistinnen und Journalisten, aber auch von vulnerablen Gruppen mit Blick auf digitale Gewalt dahingehend kritisiert, dass Betroffene ihre Privatadresse angeben müssen." Eine Neuregelung müsse jedoch ein ausreichendes Maß an Transparenz und die Erreichbarkeit des Urhebers sicherstellen.

Das Thema hätte gut ins Digitale-Dienste-Gesetzes (Digital Services Act) gepasst. Dazu ist es nun nach dessen Verabschiedung in den letzten Wochen zu spät, angedacht ist nun das geplante Gesetzes gegen digitale Gewalt. Bis dahin muss noch einiges Gehirnschmalz in das Problem gesteckt werden. Es muss andere Lösungen geben, als den eigenen Notar des Vertrauens. So wird über die Hinterlegung von Adresse und Kontaktdaten mit einer Chiffrenummer bei einer öffentlichen Stelle nachgedacht, die bei berechtigten Anliegen den Kontakt oder die Zustellung von Gerichtspost sicherstellt.

So ein Dienst sollte nach Ansicht von Domscheit-Berg die Kosten für eine Briefzustellung nicht überschreiten, "denn Sicherheit darf nicht vom Geldbeutel abhängen."

Mehr dazu bei https://netzpolitik.org/2024/bundestag-impressumspflicht-soll-auf-den-pruefstand/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3zC
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8720-20240321-private-adresse-oeffentlich-im-web.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8720-20240321-private-adresse-oeffentlich-im-web.html
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Impressumspflicht #Erreichbarkeit #DSA #DigitalServiceAct #Stalker #Gewaltandrohung #GesetzgegendigitaleGewalt #Notar #Chiffre

aktionfsa@diasp.eu

15.03.2024 Erste KI Verordnung der Welt

Regelungen zur Einschränkung von Überwachung völlig unzureichend

Die EU hat es nun doch noch geschafft, die KI Verordnung zu beschließen. Bis zuletzt stand ein beschlussfähiges Ergebnis auf der Kippe, denn wie wir berichtet hatten, hatten Deutschland und Frankreich plötzlich Bedenken, die "europäische KI Entwicklung einzuschränken". (KI-Act droht zu scheitern)

Wie bei der EU üblich, sollen wir nun mit einem Kompromiss leben, der vieles anspricht, aber nur wenig regelt. Schauen wir uns die Ergebnisse genauer an.

  • Verboten wird der Einsatz von KI
  • bei der Gefühlserkennung,
  • für Social Credit Systeme.
  • Eine Kennzeichnung wird vorgeschrieben für KI Anwendungen
  • die Texte oder
  • Bilder generieren.
  • Für sogenannte "Hochrisikotechnologien" werden "Auflagen" gemacht, das sind
  • die Gesichtserkennung,
  • das autonome Fahren,
  • medizinische Diagnosen und
  • das Personal-Recruiting.

Der Fehler im System

... springt uns direkt ins Gesicht. Warum werden ausgerechnet für "Hochrisikotechnologien" Ausnahmen gemacht. Diese sollte am besten ganz verboten oder zumindest so stark reguliert werden, dass niemand durch sie Schaden erleiden kann - beim autonomen Fahren ist das Lebensgefahr, wie schon einige Vorfälle gezeigt haben. Gerade die Gesichtserkennung war ein grundsätzlicher Diskussionspunkt zwischen Parlament und Kommission und die Vertreter des Staates haben sich wieder einmal durchgesetzt. Biometrische Gesichtserkennung soll in "Gefahrenlagen" unter richterlicher Aufsicht möglich sein.

Welche regulatorische "Steuerung" dann künftig verhindern soll, dass KI-Algorithmen unsere Zwangs-ePA (elektronische Patientenakte) aufhübscht steht völlig in den Sternen. Wie man regulieren will, dass nicht eine KI, sondern ein Mensch künftig die Bewerbungsunterlagen von nicht-weißen Männern und Frauen gleich aussortiert, wird auch noch interessant. Fazit bleibt, dass dieser erste Aufschlag der EU eigentlich kein Problem löst, das wir uns mit dem Einsatz von KI geschaffen haben.

Wie wenig praxistauglich die Verordnung ist, zeigt ja schon der "Skandal" um das Foto der britischen Prinzessin Kate, die ihr Foto wohl mit den (wenigen und harmlosen) KI-Tools von Adobe Photoshop bearbeiten ließ - und es nicht so gekennzeichnet hat. Dazu müsste ja jedes Programm sagen, dass es KI-Software enthält und das würde wieder erfordern, dass der Begriff KI erst einmal eindeutig definiert wird.

Statt die Fehler der Verordnung im Kleinen zu suchen, sind die grundrechtlichen Kritiken ernst zu nehmen. Dazu zitieren wir Marius Tudor, ehemaliger Berater des Europäischen Parlaments, der feststellt: "Dieses Gesetz schränkt den Zugang zum Arbeitsplatz und/oder zu privaten/öffentlichen Räumen durch die Verwendung der Fernidentifizierung von Bürgern ein. Ein Gesetz, das nicht in die europäische Gesetzgebung gehört, zumindest nicht in dieser Form, und das dennoch umgesetzt wird und mehr Schaden als Nutzen anrichtet."

Seine Kritik an der Verordnung über künstliche Intelligenz sieht einen Verstoß gegen Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union,

  • in dem das Recht auf Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verankert ist,
  • sowie gegen das Grundrecht auf Schutz personenbezogener Daten, das insbesondere durch die Verordnungen (EU) 2016/679 und (EU) 2018/1725
  • sowie die Richtlinien 2016/680 und 2002/58/EG geschützt wird.
  • Dieses Gesetz verstößt gegen die Richtlinie 2000/43/EG des Rates zur Anwendung des Gleichbehandlungsgrundsatzes ohne Unterschied der Rasse oder der ethnischen Herkunft und
  • gegen die Richtlinie 2000/78/EG des Rates zur Festlegung eines allgemeinen Rahmens für die Verwirklichung der Gleichbehandlung in Beschäftigung und Beruf.
  • Ferner verstößt das Gesetz gegen den Vertrag über die Arbeitsweise der Europäischen Union, der Diskriminierungen aus Gründen der Staatsangehörigkeit, der ethnischen Herkunft, des Geschlechts, des Alters, der sozialen Stellung oder der körperlichen Merkmale verbietet,
    • sowie gegen die Grundprinzipien der Freiheit und Gleichheit, auf denen die EU beruht.

Nun muss die jetzt beschlossene Verordnung erst einmal in den Mitgliedsstaaten ankommen und dabei ist noch mit weiteren Verwässerungen zu rechnen. Wir werden das Thema weiter verfolgen ...

Mehr dazu bei https://www.ardmediathek.de/video/wirtschaft-vor-acht/wirtschaft-vor-acht/das-erste/Y3JpZDovL2Rhc2Vyc3RlLmRlL3dpcnRzY2hhZnQgdm9yIGFjaHQvMjAyNC0wMy0xNF8xOS01NS1NRVo
und https://uncutnews.ch/das-europaeische-parlament-fuehrt-die-totale-kontrolle-der-buerger-durch-die-hintertuer-ein-biometrische-diktatur-nach-chinesischem-vorbild/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3zw
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8714-20240315-erste-ki-verordnung-der-welt.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8714-20240315-erste-ki-verordnung-der-welt.html
Tags: #KIAct #EURat #Trilog #Algorithmen #künstlicheIntelligenz #KI #AI #Transparenz #Gesichtserkennung #Fernerkennung #autonomeKfz #Anonymisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #FalsePositives #Bewerbungen #Nebenwirkungen #Diskiminierung #Überwachung #DataMining #Diagnosen

aktionfsa@diasp.eu

14.03.2024 Bargeld oder Kartenzahlung?

Hamburger Busse verkaufen keine Fahrscheine mehr

Wieder müssen wir uns mit dem Thema des zwangsweisen bargeldlosen Bezahlens beschäftigen. Dieses Problem hat uns unter der Überschrift "Zwangsdigitalisierung" schon oft betroffen. In der ver.di Information lesen wir:

Indirekt geht es auch hier um Geld, allerdings nicht um das wie viel, sondern um das wie, genauer:

Das bargeldlose Bezahlen

Der Hamburger Verkehrsverbund (HVV) hat mit Beginn des Jahres die Barzahlung in den Bussen abgeschafft und begründet dies im Wesentlichen mit hygienischen Gründen, verkürzten Standzeiten an den Haltestellen und einer erhöhten Sicherheit für das fahrende Personal. Weiter argumentiert der HVV, dass in der jüngsten Vergangenheit ohnehin nur noch sechs Prozent der Fahrgäste bar gezahlt hätten.

Wie gesagt, das Projekt begann am 1. Januar und wie viele zukunftsweisende Projekte im deutschen Verkehrsbereich schien auch dieses von bösen Geistern verfolgt: Schon kurz nach dem Start waren die Prepaidkarten vergriffen und zeitweise nicht verfügbar. Wieder einmal wurde hier zu kurz gedacht, denn leidtragend sind die, die ganz bewusst auf eine digitale Zahlung verzichten oder es sogar müssen, z.B. weil sie sich kein Smartphone leisten können oder dessen Bedienung schlichtweg nicht beherrschen. Hier wird wieder einmal die Lösung für ein organisatorisch-strukturelles Problem auf dem Rücken der Senior*innen oder Menschen mit Beeinträchtigungen gesucht.

Der BSV fordert schon seit langem das Recht auf analog ein und hat dazu im vergangenen Jahr auf dem ver.di-Bundeskongress auch erfolgreich den Antrag D 007 durchbringen können. Das Recht auf analog bedeutet aber nicht nur, dass es möglich sein muss einen Antrag auf Papier auszufüllen, sondern eben auch, dass die Fahrkarte mit Bargeld bezahlt werden kann.

Dazu gibt es viele Möglichkeiten. Wenn man sich umschaut, findet man pfiffige Transportdienstleister und Verkehrsverbünde die andere Lösungen gefunden haben, ohne dabei Senior*innen vor den Kopf zu stoßen, Menschen mit Beeinträchtigungen zu verprellen oder Mitbürgerinnen, die bewusst auf ein digitales Leben verzichten, auszugrenzen:

Die Deutsche Bahn versucht es mit Automaten auf den Bahnhöfen. In Potsdam oder Magdeburg, aber auch anderswo kann man seine Karte in den Fahrzeugen an einem Automaten erwerben. Auch so könnten die Anforderungen der HVV gelöst werden: Sicherheit und Hygiene für das Personal und Verkürzung der Haltestellenstehzeiten. Und die Fahrgäste brauchten keine App oder Prepaidkarte um einsteigen zu können. Wenn man will, geht eben vieles.

Dem ist nichts hinzuzufügen, denn, wie man sieht, geht es nicht um eine Problemlösung, sondern darum ohne Verstand mit aller Macht digitale Lösungen durchzudrücken. Und wieder werden damit Menschen diskriminiert, die sich die "digitalen Lösungen" nicht leisten können, sie physisch nicht bedienen können oder dies einfach nicht tun wollen.

Mehr dazu in InformatiV, Informationen für ver.di Senior*innen des Bundesseniorenvorstands (BSV)
Kategorie[34]: Zwangsdigitalisierung Short-Link dieser Seite: a-fsa.de/d/3zv
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8713-20240314-bargeld-oder-kartenzahlung.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8713-20240314-bargeld-oder-kartenzahlung.html
Tags: #Zwangsdigitalisierung #Busse #hamburg #Prepaidkarten #Verfügbarkeit #Pannen #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Persönlichkeitsrecht #Privatsphäre #Bargeld #Registrierung #persönlicheDaten #Bankdaten #Verhaltensänderung

aktionfsa@diasp.eu

25.02.2024 Spionagesoftware ist Bedrohung für die Demokratie

Mitarbeiter von EU Parlamentariern wurden überwacht

Das sagt der Dachverband der europäischen Bürgerrechtsorganisationen EDRi nach dem Fund von Überwachungssoftware auf den Smartphones bei zwei Mitgliedern und Mitarbeiter:innen des EU-Unterausschusses für Sicherheit und Verteidigung.

In einer Pressemitteilung stellen sie fest, dass "Eingriffe dieser Art eine Bedrohung für die Demokratie sind, da sie sich in Wahl- und Entscheidungsprozesse einmischen und die Integrität der öffentlichen Debatte untergraben".
"Wir erleben nicht nur Unsicherheit und Angst, sondern auch eine allmähliche Aushöhlung der zivilen Räume um uns herum. Der jüngste Skandal unterstreicht die dringende Notwendigkeit eines umfassenden EU-weiten Verbots von Spähsoftware, um die Privatsphäre des Einzelnen und die bürgerlichen Freiheiten zu schützen", sagt Itxaso Dominguez de Olazabal von EDRi in dem verlinkten Artikel von Netzpolitik.org.

Auch nachdem die Enthüllungen über die Pegasus Spyware in Griechenland, Spanien, Ungarn und Polen für Aufsehen gesorgt haben, machen weder EU Kommission noch das Parlament Versuche solche Software zu verbieten.

Wir hatten über diese Fälle berichtet.

Mehr dazu bei https://netzpolitik.org/2024/nach-spyware-fund-im-eu-parlament-buergerrechtsorganisationen-fordern-verbot-von-spionagesoftware/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3za
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8693-20240225-spionagesoftware-ist-bedrohung-fuer-die-demokratie.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8693-20240225-spionagesoftware-ist-bedrohung-fuer-die-demokratie.html
Tags: #Sicherheitsrisiko #Politiker #Griechenland #Polen #Ungarn #Spanien #EU #Parlament #Ukraine #Russland #Pegasus #Predator #Geheimdienste #Frieden #Krieg #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Demokratie

aktionfsa@diasp.eu

21.02.2024 eID des ePerso nicht mehr sicher?

Identität lässt sich auch hier stehlen

Die Antwort ist JEIN, denn ein anonymer Sicherheitsforscher mit dem Namen CtrlAlt hat zwar ein Beispiel aufgezeigt, wie ein Endgerät eines Anwenders durch eine über eine Pishing Mail erhaltene verseuchte App kompromittiert werden kann. Aber in so einem Fall gilt, wie bei allen Fällen, wo Menschen aus eigener "Dummheit" auf Angriffe hereinfallen - selbst schuld.

Mit dieser schnellen Antwort wollte sich Jürgen Schmidt, Leiter heise Security, nicht zufrieden geben und hat das Problem näher untersucht. Er geht vom Anspruch des eID-Verfahrens aus, den sich die Bundesregierung mal gestellt hatte und sagt: Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein.

Im weiteren nennt er zwei Verbesserungsmöglichkeiten, eine davon lässt sich schnell anwenden. Es wäre bereits eine Hilfe, wenn die Nutzer eine Liste des BSI einsehen könnten, welche Apps und welche Updates vertrauenswürdig seien und eventuell auch Hinweise zu aktuellen Fake Apps als Warnung. Das BSI prüft diesen Vorschlag zur Zeit.

Der zweite Vorschlag geht ans Eingemachte. Dazu muss man wissen, dass eine ID-Feststellung in der eID App mit einer URL der Form eid://... beginnt. Solche URL-Schemes gelten bereits seit einigen Jahren nicht mehr als sicher, vor allem, wenn sich jede App, also auch ein Trojaner, dort registrieren kann. Sowohl für iOS als auch für Android gibt es sogenannte Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern, wie Heise Security vorschlägt. Die Antwort des BSI auf diesen Vorschlag ist wesentlich zurückhaltender, denn der Ansatz der Universal Links würde "das Ziel der Interoperabilität und Offenheit/Transparenz des eID Systems deutlich einschränken".

Die eID für den ePerso war ja vor vielen vielen Jahren aus der Taufe gehoben worden, um auch Firmen die Möglichkeit zu geben eine sichere Identifikation ihrer Nutzer sicherzustellen. Über Jahre gab es praktisch keine sinnvollen Anwendungen und auch heute kommen die immer noch wenig genutzten aus dem Öffentlichen Dienst. Selbst der vor 2 Jahren eingeführte und von uns verurteilte Zwang zur Freischaltung der eID in jedem neu ausgegebenen Personalausweis hat die Nutzerzahlen kaum beflügelt.

Wir zitieren hier gern eine Meldung aus dem Jahr 2010: Notbremse beim E-Personalausweis ziehen „Die übereilte Einführung des neuen Personalausweises fällt der Bundesregierung schneller auf die Füße als befürchtet" (Die Linke fordert Verzicht auf ePerso ) und verweisen auf über 50 Artikel (s.u.) in denen wir uns mit dem Thema "ePerso" beschäftigen mussten. Wir geben allerdings gerne zu, dass eine verlässliche und sichere Identifikation immerhin eine sinnvollere Anwendung als die ebenfalls staatlich eingeführte (und inzwischen beerdigte) DE-Mail mit stückweise verschlüsselten Nachrichten wäre.

Mehr dazu bei https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html
und alle unsere Artikel zum ePerso https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePerso&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z6
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Tags: #eID #ePerso #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #Identitätsdiebstahl #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #Ergonomie #Datenpannen #Vertrauen #Pishing #Unschuldsvermutung #Verhaltensänderung #BSI #URL #App-Liste

aktionfsa@diasp.eu

16.02.2024 EMGR-Urteil: Grundrecht auf Privatsphäre

Hintertüren in Messengern verstoßen gegen Menschenrechte

So urteilte der Europäische Gerichtshof für Menschenrechte in dem Fall einer Klage eines russischen Bürgers gegen seinen Staat. Das Gericht stellte ganz generell fest, dass das massenhafte und anlasslose Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation das Grundrecht auf Privatsphäre verletzt. Der Kläger wehrte sich mit seiner Klage gegen ein umfassendes Überwachungsgesetz, das vom russischen Parlament 2016 beschlossen wurde.

Netzpolitik.org berichtet: "In seinem Urteil betont das Gericht, wie wichtig verschlüsselte Online-Kommunikation für die Privatsphäre und die Meinungsfreiheit ist. Zudem helfe Verschlüsselung gegen Daten- oder Identitätsdiebstahl. Eine wie von Russland geforderte Hintertür, etwa mittels eines hinterlegten Schlüssels, würde notwendigerweise die Privatsphäre aller Nutzer:innen des Dienstes verletzen."

Wink mit dem Zaunpfahl in Richtung EU

Dieses grundlegende Urteil muss für einige Regierungen in der EU wie ein "Wink mit dem Zaunpfahl" wirken und wird hoffentlich die unselige Diskussion zu einer EU-Chatkontrolle dämpfen. Gerade in den letzten beiden Jahren wurden entsprechende Maßnahmen, meist ohne eine gesetzliche Regelung, wie in Russland aufgedeckt. Wir haben über diese Skandale um die Verwendung der Überwachungsprogramme Pegasus und Predator in vielen Artikeln berichtet. Ihr illegaler Einsatz gegen Journalisten, Politiker und einfach Andersdenkende wurde in Griechenland, Spanien, Polen, Ungarn, ... aufgedeckt.

Verbotene Überwachung in Polen und Ungarn kommt ans Licht

Mehr als "Einzelfälle" sind inzwischen aus Polen und Ungarn bekannt, denn auch dort bröckelt die Mauer des Schweigens. So wurde in Polen eine Überwachungsliste der PiS Partei bekannt, auf der unter anderem ein ehemaliger Landwirtschaftsminister, ein Ex-Parlamentspräsident und sogar Ex-Premier Mateusz Morawiecki stehen soll. Die Enthüllung dieser Liste könnte das Ende für Jarosław Kaczyński bedeuten. Krzysztof Brejza, dessen Überwachung bereits letztes Jahr öffentlich wurde, sagt dazu: "Alles deutet darauf hin, dass Pegasus innerhalb der Partei verwendet wurde, um ‚Kompromat‘ zu sammeln, Fraktionsspiele zu betreiben und eine para-mafiöse Gruppe aufzubauen."

In Ungarn wurden die Enthüllungen von Péter Magyar, Ex-Mann der ehemaligen Justizministerin Judit Varga und selbst Profiteur der Fidesz, ans Licht gebracht. Netzpolitik.org schreibt: Judit Varga hatte damals als Justizministerin die Spähangriffe auf die Smartphones der Betroffenen bewilligt. Im Visier waren nicht nur kritische Journalist:innen und Oppositionellen, sondern auch Politiker aus Orbáns eigenem Lager. So wurde etwa der ehemalige Staatspräsident János Áder über die Telefone zweier seiner Leibwächter indirekt überwacht. Der Skandal führte jetzt zum Rücktritt der Justizministerin und Spitzenpoltikerin für die kommende Europawahl.

Wir brauchen jedoch mehr als Skandale und Rücktritte - wir alle müssen begreifen, dass Versuche die Ende-zu-Ende-Verschlüsselung der Kommunikation zwischen den Menschen durch Hintertüren zu brechen, ein grundlegender Verstoß gegen die Menschenrechte und die Privatsphäre jedes einzelnen Menschen darstellt.

Mehr dazu bei https://netzpolitik.org/2024/europaeischer-gerichtshof-fuer-menschenrechte-massenhafte-ueberwachung-in-russland-ist-illegal/
und https://netzpolitik.org/2024/ueberwachung-mit-pegasus-in-polen-und-ungarn-broeckelt-die-mauer-des-schweigens/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z1
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8684-20240216-emgr-urteil-grundrecht-auf-privatsphaere.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8684-20240216-emgr-urteil-grundrecht-auf-privatsphaere.html
Tags: #Urteil #EMGR #Klage #Russland #Polen #Ungarn #Staatstrojaner #EU #Pegasus #Predator #Unschuldsvermutung #Verhaltensänderung #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Informationsfreiheit #Privatsphäre #Journalisten

aktionfsa@diasp.eu

14.02.2024 Big Brother in Bayern

Verhaltensvorhersagen möglich ...

... aber beliebig fehlerhaft. Die Folgen von "Predictive Policing" sollte man sich stets vor Augen halten, bevor man sie auf die Menschen los lässt. Es kommt zu beliebig vielen "False Positives", also falsch Verdächtigten, die dann unter großen Schwierigkeiten ihre Unschuld beweisen müssen. Wie schwer es ist zu beweisen, dass man irgend etwas nicht getan hat, das wissen die Betroffenen nur zu gut.

Bereits in Hessen und NRW wird eine Software eingesetzt, die nun auch die Polizei in Bayern zu nutzen plant. Es handelt sich um die Analysesoftware "Vera", die wiederum auf Palantirs "Gotham" beruht. Die Junge Welt berichtet nun, dass der bayerische Landesdatenschutzbeauftragte, Thomas Petri, vom Landeskriminalamt fordert, den Testbetrieb der Software der geheimdienstnahen US-Firma Palantir einzustellen.

Data Mining = Rasterahndung

Die Software schaut sich "nur" die allgemein verfügbaren Daten der Menschen an und versucht daraus Muster zu erkennen. Wer war zum Zeitpunkt X wo, wer hat mit wem telefoniert, wer hat ähnliche Ansichten in (a-) sozialen Netzwerken geäußert wie der Verdächtige Y?

Aus der Vielzahl der analysierten Daten lassen sich Persönlichkeits- sowie Bewegungsprofile von Personen erstellen und daraus wieder Schlussfolgerung auf eigentlich private Verhaltensmuster ziehen. Schon vor mehr als 20 Jahren hatte sich das BVerfG mit der Rasterfahndung von Studenten nach den Terroranschlägen vom 11. September beschäftigt und eine Analyse von Daten Unverdächtigen/Unbeteiligten ausgeschlossen. Warum jetzt - ohne äußeren Anlass - dieser erneute Vorstoß? KI machts möglich.

Noch fehlt zumindest in Bayern eine Rechtsgrundlage für solche Software, doch im Koalitionsvertrag wird sie bereits gefordert. Frage: Warum sind die Menschen so blind, solche Parteien wie CSU und Freie Wähler zu wählen?

Mehr dazu bei https://www.jungewelt.de/artikel/469076.big-brother-in-bayern-der-einsatz-solcher-software-ist-gef%C3%A4hrlich.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yY
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8682-20240214-big-brother-in-bayern.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8682-20240214-big-brother-in-bayern.html
Tags: #DataMining #Rasterahndung #BigBrother #Bayern #PredictivePolicing #FalsePositives #fehlerhaft #Unschuldsvermutung #Verhaltensänderung #Polizei #Geheimdienste #Geodaten #Palantir #Vera #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Persönlichkeitsrecht #Privatsphäre

aktionfsa@diasp.eu

10.02.2024 shim Bootloader mit Risiko "hoch"

Update inzwischen verfügbar

Der Open Source Linux Bootloader "shim" enthält eine Sicherheitslücke, mit der Angreifer eigenen Code einschleusen können. Die Warnung CVE-2023-40547 (CVSS 8.3, Risiko "hoch") beschreibt die Gefahr, dass bei einem solchen "Man in the Middle" Angriff in Speicherbereiche außerhalb des allokierten Bereichs geschrieben werden kann (Out-of-bound write primitive). Damit kann das ganze System kompromittiert werden.

Der einzige Zweck von shim als eine "triviale EFI-Applikation" ist der, dass damit auf handelsüblichen Windows-Computern auch andere vertrauenswürdige Betriebssysteme mit Secure Boot zu starten sind. Microsoft macht es mit SecureBoot und seinen EFI/UEFI Bootloadern anderen Systemen weiterhin schwer als System neben Windows installiert zu werden.

Ein Update auf shim 5.18 korrigiert die Sicherheitslücke und repariert auch weitere Schwachstellen. So war erst im Dezember 2023 eine Lücke im Secure-Boot auf BIOS-, bzw. UEFI-Ebene unter dem Namen "LogoFAIL" bekannt geworden.

Mehr dazu bei https://www.heise.de/news/Bootloader-Luecke-gefaehrdet-viele-Linux-Distributionen-9624201.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yU
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8678-20240210-shim-bootloader-mit-risiko-hoch.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8678-20240210-shim-bootloader-mit-risiko-hoch.html
Tags: #Microsoft #Windows #Diskriminierung #Ungleichbehandlung #OpenSource #Linux #Bootloader #UEFI #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen

aktionfsa@diasp.eu

03.02.2024 Alles was (un)recht ist

Bayern testet rechtswidrig Palantir

Heute gibt es nur eine Kurzmeldung, weil die Sache einfach so rechtswidrig ist. Netzpolitik.org schreibt: Der Polizei in Bayern fehlt eine Rechtsgrundlage für den aktuellen Testeinsatz von Palantir-Software. Der bayerische Datenschutzbeauftragte fordert, den Test der Analyse-Software einzustellen.

Selbst das BVerfG hat sich mit dem Thema Palantir schon beschäftigt und in seiner Palantir-Entscheidung vom 16. Februar 2023 festgestellt: Beim Einsatz solcher Software kommt es zu erheblichen Grundrechtseingriffen.

Mehr dazu bei https://netzpolitik.org/2024/automatisierte-polizeidatenanalyse-bayern-testet-rechtswidrig-palantir-software/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yM
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8671-20240203-alles-was-unrecht-ist.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8671-20240203-alles-was-unrecht-ist.html
Tags: #BVerfG # #BLKA #Palantir #Analysesystem #Bayern #Zweckbindung #DSGVO #Polizei #Geheimdienste #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Unschuldsvermutung #Verhaltensänderung #Verbraucherdatenschutz #Datensicherheit #Datenskandale

aktionfsa@diasp.eu

Workshop zum Safer Internet Day am 13.2.

Persönliche Daten sollen Privatangelegenheit bleiben

Heute in zwei Wochen am 13. Februar ist der Safer Internet Day und wie in jedem Jahr gibt es bundesweit wieder viele Veranstaltungen, in denen darüber diskutiert wird, wie wir mit der Digitalisierung leben wollen.

Wo sind die Chancen und wo die Risiken der Digitalisierung?

Mit diesem Thema beschäftigen wir uns seit unserer Vereinsgründung vor 15 Jahren. Als eines der wichtigsten Themen hat sich in den letzten Jahren herausgeschält, dass wir verhindern müssen, dass die großen Internetkonzerne

  • unsere persönlichen Daten nutzen und weiter verkaufen,
  • mit unseren Daten immer reicher werden,
  • sie uns mit unseren eigenen Daten steuern und manipulieren können,
  • die Chancen für kleine Start-Ups praktisch auf Null schrumpfen.

Wir haben unsere Erkenntnisse dazu vor einiger Zeit in einem Artikel zusammengefasst "Persönliche Daten sollen Privatangelegenheit bleiben"

Diese Erkenntnisse sind uns nicht in einer "Erleuchtung" zugefallen, sondern wir mussten darauf stoßen durch die Hunderte von Datenskandale, die die großen Internetkonzerne, wie Google, Facebook, WhatsApp, Twitter, Instagram, u.a. zu verantworten haben. Im wesentlichen gehen diese Skandale fast immer auf die Big5 zurück, Google, Amazon, Facebook, Apple, und Microsoft (GAFAM).

Unsere Veranstaltung zum Safer Internet Day am 13. Februar

Am Dienstag, den 13.2. wollen wir von 19-21 Uhr in Berlin im Linkstreff Wedding, Malplaquetstr. 12, Nähe U-Leopoldplatz mit allen Interessierten wieder einmal darüber ins Gespräch kommen, wie wir durch die Nutzung scheinbar "kostenloser" Internetdienste, wie Google, Facebook, WhatsApp, Twitter, Instagram, TikTok u.v.m. unsere Privatsphäre an diese Internetgiganten ausliefern.

Gemeinsam wollen wir am Safer Internet Day darüber sprechen

  • wo überall unsere persönlichen Daten gefährdet sind,
  • was wir persönlich dagegen tun können,
    • welche Maßnahmen wir von den verantwortlichen Politikern erwarten.

Dieser Workshop kann nur als erster Einstieg in das Thema dienen, um uns über die Gefahren klar zu werden, denen wir uns durch die Nutzung solcher Dienste ausliefern. Wir werden auch über bessere Alternativen sprechen, z.B. sichere, verschlüsselte und freie Messenger, ohne diese in der kurzen Zeit dieses Workshops genauer analysieren zu können. Aber in Folgeveranstaltungen bei unseren regelmäßig stattfindenden Offenen Treffen wird dies möglich sein. Wir treffen uns monatlich meist an einem Dienstag am gleichen Ort. Die Termine finden sich stets in unserem Kalender.

Wir bitten für den Safer Internet Day um Anmeldung unter kontakt@aktion-fsa.de , da nur eine begrenzte Anzahl Gäste in unserem Raum im "Linkstreff Wedding" Platz finden können.

Mehr dazu bei https://www.aktion-freiheitstattangst.org/de/articles/7898-20220118-persoenliche-daten-sollen-privatangelegenheit-bleiben.html
und https://www.klicksafe.de/sid24/veranstaltungen/meine-daten-gehoeren-mir-1
Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3yF
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8666-20240130-workshop-zum-safer-internet-day-am-132.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8666-20240130-workshop-zum-safer-internet-day-am-132.html
Tags: #SaferInternetDay #SID #Linkstreff #Workshop #Chancen #Risiken #Digitalisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Informationsfreiheit #Anonymisierung #Hacking #Trojaner #Cookies #Verschlüsselung #GAFAM #Big5 #Messenger

aktionfsa@diasp.eu

27.01.2024 EU beschließt Bargeldobergrenze
"De-Cashing" ist kein Selbstläufer

Gegen die deutsche Mentalität mit dem Sparstrumpf unter dem Kopfkissen kommt die Idee der Abschaffung des Bargelds schwer an. Im Gegensatz zu unseren nordischen Nachbarn zahlen die Deutschen immer noch gern mit Bargeld. Trotzdem ist der Internationale Währungsfonds (IWF) nach einem Papier von 2017, „The Macroeconomics of De-Cashing“, in dem aufgeschrieben wurde, wie Regierungen das Bargeld beseitigen könnten, der Meinung:

„Die Behörden vieler Länder haben bereits erste Schritte unternommen, um Bargeldtransaktionen zu begrenzen. (...) Auch der Privatsektor scheint Bargeld am liebsten loswerden zu wollen.“

Bis es zur freiwilligen Selbstaufgabe kommt, empfiehlt das Papier

  • die schrittweisen Abschaffung großer Banknotenstückelungen,
  • die Festlegung von Obergrenzen für Bargeldtransaktionen und
  • die Meldung von Bargeldbewegungen über die Grenzen hinweg. (durch umfassende Kontrollen? auch im Schengenraum?)

Zur Begründung für die Maßnahmen werden die (hohen) Kosten für Bargeld angegeben, ohne diese Kosten (ca. 0,3% in DE) mit den Kosten digitaler Transaktionen zu vergleichen. Real ist das wieder einmal eine Verschiebung der Kosten auf den Endkunden für seine Kreditkarte, für seinen Internetanschluss, ... Die Obergrenze für Barzahlungen in der EU ist auf jeden Fall erst einmal auf 10.000€ beschränkt.

Weitere Probleme, die digitale Zahlungen erzeugen können beschreibt unser Ehrenmitglied Edward Snowden in "Der Kampf um das Bargeld" und "Bargeldverbot oder Helikoptergeld?". So nach seiner Erkenntnis "... Eine digitale Zentralbankwährung ist auch keine Übernahme des Konzepts der Kryptowährung auf staatlicher Ebene [...] Stattdessen ist eine digitale Zentralbankwährung eher eine Perversion der Kryptowährung [...] – eine kryptofaschistische Währung, [...] die [...] ausdrücklich dazu bestimmt ist, ihren Nutzern das grundlegende Eigentum an ihrem Geld zu verweigern und den Staat als Vermittler jeder Transaktion einzusetzen.“

In verschiedenen EU Staaten gab es in letzter Zeit sogar Maßnahmen, um den Abschaffungstendenzen entgegen zu wirken. In Italien wurde die Barzahlungsobergrenze auf 2.000 Euro verdoppelt und verschiedene andere Anti-Bargeld-Maßnahmen wurden beendet. Die Slowakei hat ein (allerdings schwaches) Recht auf Barzahlung in der Verfassung verankert, Norwegen hat die Annahme von Bargeld verpflichtend gemacht.

Mehr dazu bei https://norberthaering.de/bargeld-widerstand/eu-bbargeldobergrenze-iwf/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yC
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8663-20240127-eu-beschliesst-bargeldobergrenze.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8663-20240127-eu-beschliesst-bargeldobergrenze.html
Tags: #Datenskandale #Bargeld #Zentralbanken #eCash #decashing #Persoenlichkeitsrecht #Privatsphaere #Grundrechte #Freizuegigkeit #Ueberwachung #Bankdaten #IWF #Verbraucherdatenschutz #Datenschutz #Datensicherheit #EdwardSnowden

aktionfsa@diasp.eu

25.01.2024 Trainiert MS ihre KI mit unseren Daten?

Wohin gehen unsere Daten?

AGBs lesen ist mühsam, entweder sie sind viele Seiten lang und man findet die wichtige Sätze nicht oder sie sind so kryptisch formuliert, dass man alles mögliche darunter verstehen kann. Die Mozilla Foundation, das ist die Stiftung, die den Firefox Browser und das Mailprogramm Thunderbird unterstützt, hat 9 ExpertInnen beauftragt, die AGBs von Microsoft daraufhin zu untersuchen, ob Microsoft die Daten seiner Nutzer zum Training von KI verwendet.

Die ExpertInnen konnten Mozilla keine klare Antwort geben. Nun hat Mozilla eine Webseite aufgemacht, wo man Microsoft direkt fragen kann. Die Annahme ist, dass Microsoft zu einer Antwort gedrängt wird, wenn genügend Menschen danach fragen. Mozilla sagt dort:
"Trainiert ihr eure KI mit unseren persönlichen Daten?

Wir haben 4 Jurist*innen, 3 Datenschutzexpert*innen und 2 Aktivist*innen beauftragt, den neuen Servicevertrag von Microsoft unter die Lupe zu nehmen. Keinem der Profis gelang es, dem Dokument zu entnehmen, ob Microsoft plant, Ihre persönlichen Daten – darunter Audio- und Videodaten, Chatprotokolle und Dateianhänge aus 130 Produkten wie Office, Skype, Teams und Xbox – zum Training seiner KI-Modelle zu nutzen.

Wenn 9 Datenschutzexpert*innen nicht verstehen, wie Microsoft Ihre Daten nutzen wird – wie sollen Normalverbraucher*innen da durchblicken? Wahrscheinlich gar nicht. Deshalb fordern wir Microsoft auf, Klartext zu reden, ob das Unternehmen persönliche Daten zu KI-Trainingszwecken einsetzt."

Auf der verlinkten Seite kann sich der Frage an Microsoft anschließen. Wir sind auf eine Antwort gespannt ...

Mehr dazu bei https://foundation.mozilla.org/de/campaigns/microsoft-ai/?utm_source=newtab&utm_campaign=23-MS-AI&utm_medium=firefox-desktop&utm_term=de&utm_content=banner_I2-C1
und alle unsere Artikel zu Microsoft und Datenverlusten https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=microsoft+verlust&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yA
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8661-20240125-trainiert-ms-ihre-ki-mit-unseren-daten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8661-20240125-trainiert-ms-ihre-ki-mit-unseren-daten.html
Tags: #Anfrage #KI #BigBrother #Gefahren #Microsoft365 #Teams #Skype #Lauschangriff #Überwachung #Videoüberwachung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #PrivacyShield #SafeHarbor #USA #Big5 #Apps #Privatsphäre #Verluste

aktionfsa@diasp.eu

23.01.2024 Die Schweiz zahlt und die NSA liest mit

Eine Geheimdienststory und der Kampf für Verschlüsselung

Adrienne Fichter schreibt auf Republik.ch über die Geschichte einer Überwachungssoftware in der Schweiz, die 2013 nach der Revision des "Bundes­gesetzes betreffend die Überwachung des Post- und Fernmelde­verkehrs", kurz Büpf, angeschafft wurde. Wie es sich für eine Geheimdienststory à la Edward Snowden gehört, gehört dazu ein Whistleblower, ohne den die für die Schweiz peinliche Geschichte nie ans Licht gekommen wäre. PS. Edward Snowden ist seit 2013 Ehrenmitglied in unserem Verein.

Für die lesenswerten Einzelheiten der Story verweisen wir auf Republik.ch und fassen nur die Kernpunkte zusammen

  • Die alten Schweizer Überwachungsprogramme waren total veraltet. Schon für die Evaluierung der Alternativen werden Millionen Schweizer Franken ausgegeben.
  • 112 Millionen Franken sind nun für ein neues Überwachungsprogramm vorgesehen.
  • Gekauft wird die Software "Firefly" des israelisch-amerikanischen Unternehmen Verint für die "Echtzeit­überwachung von Telefonie und Internet und der Lokalisierung von Zielpersonen".
  • Sie soll das Herzstück des "Verarbeitungs­systems zur Fernmeldeüberwachung FMÜ" werden, in dem alle Daten aus Telefonie, SMS, Standortortung und Internetverkehr zusammenfließen.
  • Erste Erkenntnis des damaligen Waadtländer SP-Nationalrat Jean-Christophe Schwaab, wer bei einer Firma wie Verint Geräte bestelle, könne "den Schlüssel dazu gerade so gut gleich der NSA übergeben".
  • Zweite Erkenntnis: Während 2013 mit dem alten System noch 3700 Echtzeitüberwachungen in der Schweiz durchgeführt wurden, ging es mit dem neuen steil bergab. 2018 gab es nur noch 1676 Maßnahmen.
  • Dritte Erkenntnis: Schuld am Versagen der neuen Software ist indirekt unser Ehrenmitglied, denn nach den Snowden Enthüllungen über die weltweite Überwachung durch die NSA geben sich immer mehr Menschen Mühe verschlüsselte Verbindungen, beim Surfen z.B. HTTPS, zu nutzen. Die teure Überwachungssoftware konnte aber nur unverschlüsselten Internetverkehr lesen.

Der Whistleblower, im Artikel wie üblich John Doe genannt, fast zusammen: "Die Überwachungs­behörden kauften also für mehrere Millionen ein System ein – und plötzlich stellte die gesamte Internetwelt großflächig auf HTTPS um. Eine Riesen­demütigung!"

In der Folge gab es in der Schweiz, wie auch in vielen anderen Staaten in Europa vergebliche Versuche von Polizei und Geheimdiensten gegen Verschlüsselung vorzugehen. Der Bericht beschreibt dabei durchaus gefährliche Entwicklungen zu erweiterten Eingriffen des Staats in die nun oft verschlüsselte Kommunikation seiner Bürger. In Deutschland war dies die angeblich sichere DE-Mail (De-Mail ein "schlechter Witz"), die immer nur stückweise verschlüsselt war und "zum Kampf gegen Spam und Trojaner" von den Providern kontrolliert werden durfte.

Mehr dazu bei https://www.republik.ch/2024/01/15/die-irrwege-der-ueberwacher
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yy
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8659-20240123-die-schweiz-zahlt-und-die-nsa-liest-mit.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8659-20240123-die-schweiz-zahlt-und-die-nsa-liest-mit.html
Tags: #Schweiz #Polizei #Geheimdienste #Hacking #Israel #USA #Firefly #Verint #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #Datenpannen #Datenskandale #Verhaltensänderung #Snowden #Enthüllungen #Verschlüsselung

aktionfsa@diasp.eu

Urteil gegen unverschlüsselte Mails

Unverschlüsselte Mail verstößt gegen die DSGVO

Endlich hat mal ein Richter kapiert, dass unverschlüsselte Mails einen Eingriff in die persönliche Privatsphäre darstellen. Ein Arbeitnehmer hatte geklagt, nachdem er von seinem Arbeitgeber nur unverschlüsselte Mail geschickt bekam. Heise.de berichtet: "Der Arbeitnehmer brachte vor, durch die Form der Datenübermittlung, eine zusätzliche Weiterleitung seiner Informationen an den Betriebsrat und eine unvollständige Auskunft, habe er einen immateriellen Schaden sowie einen Kontrollverlust erlitten."

Dafür wollte er Schadensersatz in Höhe von mindestens 10.000 Euro, den ihm der Richter des Arbeitsgerichts Suhl nicht zugestand. Er bekam aber Recht, dass der Versand einer unverschlüsselten Mail gegen die DSGVO verstößt. Die Richter beriefen sich dabei auch auf die Ansicht des Thüringer Datenschutzbeauftragten Lutz Hasse.

Eine Berufungsinstanz könnte den Schadensersatzanspruch eventuell noch einmal prüfen, denn der Europäische Gerichtshof (EuGH) urteilte am 14. Dezember, dass schon die Sorge, dass persönliche Daten missbraucht wurden, einen Schaden darstellen kann.

Die DSGVO erwähnt im Grundsatzartikel 5 nicht direkt die Forderung nach Verschlüsselung, fordert aber bei der Nutzung eine Abwägung nach "Stand der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen".

Deshalb verweist Heise.de auf den DSB in Hessen, der sagt: Als vergleichsweise sichere Kommunikationsmittel empfiehlt aber etwa auch der hessische Datenschutzbeauftragte Alexander Roßnagel insbesondere den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME) oder Portallösungen, "bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können".

Mehr dazu bei https://www.heise.de/news/Arbeitsgericht-Unverschluesselte-Mail-verstoesst-gegen-die-DSGVO-9592235.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3ym
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8647-20240111-urteil-gegen-unverschluesselte-mails.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8647-20240111-urteil-gegen-unverschluesselte-mails.html
Tags: #Mail #unverschlüsselt #Klage #Urteil #Arbeitnehmerdatenschutz #Persönlichkeitsrecht #Privatsphäre #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenskandale #Verhaltensänderung #Verschlüsselung #DSGVO

aktionfsa@diasp.eu

07.01.2024 Der fast gläserne Paypal Kunde

With Whom we share Personal Information

Diesen Bericht kann man kurz gestalten. Paypal, der weltweite Zahlungsdienstleister, sagt selbst - wie es rechtlich auch sein sollte - welche Daten seiner Kunden das Unternehmen mit welcher anderen Firma oder Behörde teilt. Übersichtlich ist noch die Liste der Staaten in den die Empfänger der Daten sitzen: France, Germany, Ireland, Spain, Netherlands, Bulgaria, Italy, Poland, Cyprus, Sweden, Austria, the United Kingdom, Tunisia, Egypt, El Salvador, the Philippines and the United States.

Die Liste der Unternehmen, die als Empfänger der Daten auftreten hat leider keine Nummerierung. Importiert in ein Open Office Dokument ist sie 87 Seiten lang. Vielleicht hat Paypal angenommen, dass bei dieser Menge sowieso niemand mehr genauer hinschauen wird. Unterteilt wird sie in 587 Zeilen, was aber wenig aussagt, da fast jede Zeile mehrere Unternehmen auflistet.

Der "beliebteste" Grund zum Weitergeben der Daten ist: To verify identity and carry out checks for the prevention and detection of crime including fraud and/or money laundering

also: Überprüfung der Identität und Durchführung von Kontrollen zur Verhinderung und Aufdeckung von Straftaten einschließlich Betrug und/oder Geldwäsche

Das wäre ja ein Grund, den man in einigen Fälle sogar verstehen könnte. Schwerer verständlich sind dann solche Gründe: To enable secure data transfer, also um eine sichere Datenübertragung zu ermöglichen. Die Datenübertragung wird sicher nicht sicherer, wenn ich mehr Institutionen mit Daten versorge ...

Welche Daten die aufgelisteten Unternehmen erhalten, ändert sich je nach Zweck, enthält aber meist: Email, names, accounting information. Die Menge kann sich aber auch erhöhen bis zu: Name, email, IP address, phone number, business banem business ID, business owner, IP address, user name, gender, date of Birth, Country Location, Place of Birth and Nationalitydevice identification, iZettle customers with personal accounts containing full name, details of account liabilities, debts and amounts owed to us, credit history information, repayment history, Merchant information and account history, VAT number, card/payment information, Organization_uuids, transactions, transaction value, details of user funding instruments, and government identification, customer’s spoken words, customer keyboard and cursor behaviour when using PayPal website or App, Social media login’s or identity tokens ...

Nach den "spoken words" - Jede/r von uns hat die Ansage "dieser Anruf wird zur Qualitätssicherung aufgezeichnet" schon einmal gehört - und den Tastaturanschlägen ist uns dann die Lust am Sammeln vergangen und wir überlassen die Liste den Kunden von Paypal, die sie wahrscheinlich zu 99% nie anschaut haben. Nichts davon hat jetzt schockiert aber unsere Vorbehalte gegen Internet Banking sind damit nicht kleiner geworden.

Mehr dazu bei https://www.paypal.com/ie/webapps/mpp/ua/third-parties-list
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yh
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8643-20240107-der-fast-glaeserne-paypal-kunde.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8643-20240107-der-fast-glaeserne-paypal-kunde.html
Tags: #Paypal #InternetBanking #Bankdaten #Verhaltensänderung #Datenweitergabe #Liste #Transparenz #Informationsfreiheit #Anonymisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Tastaturanschläge #CreditCard

aktionfsa@diasp.eu

02.01.2024 Zwei Beispiele von Hacks

"Create2"-Funktion von Ethereum missbraucht

Nicht nur das Gesundheitssystem weist in seiner Software Lücken und Fehler auf, auch Banksoftware ist nicht perfekt. Das gilt erst recht für diejenige von Kryptowährungen. Böswillige Akteure haben die "Create2"-Funktion von Ethereum missbraucht, um Sicherheitswarnungen für Wallets zu umgehen und Kryptowährungsadressen zu verändern. Die Folge davon war, der Diebstahl von Kryptowährungen im Wert von 60.000.000 US-Dollar von 99.000 Personen in den letzten 6 Monaten.

Create2 ist ein Code in Ethereum, der das Erstellen von Smart Contracts auf der Blockchain ermöglicht. Eigentlich handelt es sich um ein leistungsstarkes Tool für Ethereum-Entwickler, das fortschrittliche und flexible Vertragsinteraktionen, eine parameterbasierte Vorabberechnung der Vertragsadresse, Flexibilität bei der Bereitstellung sowie die Eignung für Off-Chain-Transaktionen ermöglicht.

Gelingt es Angreifern jedoch die Sicherheitswarnungen der Wallet zu unterdrücken, bzw. zu umgehen, so kann ein Opfer eine böswillige Transaktion unterzeichnen. Dann setzt der Angreifer einen Vertrag an der vorberechneten Adresse ein und überträgt die Vermögenswerte des Opfers dorthin. Shit happens!

Royal ransomware asked 350 victims to pay $275 million

Auch die zweite verlinkte Meldung zeigt ein Beispiel, wo durch unsichere Netzwerke Angreifer Zugriff auf wertvolle Daten bekommen. In diesem Fall handelt es sich sogar um Gesundheitsdaten, allerdings Institutionen des Department of Health and Human Services (HHS) in den USA. FBI und die CISA haben in einer gemeinsamen Mitteilung bekannt gegeben, dass die Royal Ransomware-Bande seit September 2022 in die Netzwerke von mindestens 350 Organisationen weltweit eingedrungen ist.

Danach haben sie mit Ransomware-Operationen, also der Verschlüsselung oder Entführung von Datenbeständen Lösegeldforderungen in Höhe von mehr als 275 Millionen US-Dollar erhoben. Die Forderungen reichen im Eizelfall von 250.000 Dollar bis zu mehreren Millionen Dollar.

Den Behörden in den USA ist es bisher nicht gelungen die Akteure der Angriffe zu enttarnen. Sie konnten jedoch an den Angriffsmustern erkennen, dass um den Jahreswechsel 22/23 ein "Rebranding" stattgefunden haben muss. Während sie anfangs Ransomware-Verschlüsselungsprogramme von anderen Unternehmen wie ALPHV/BlackCat verwendeten, ist die Bande inzwischen dazu übergegangen, eigene Tools einzusetzen. Neuerdings wurde die Malware aktualisiert, um auch Linux-Geräte bei Angriffen auf virtuelle VMware ESXi-Maschinen zu verschlüsseln.

Das Interesse der Hacker an Linux beweist, dass gerade in der Serverlandschaft inzwischen auch bei Unternehmen vermehrt Linux an Stelle von Windows-Servern eingesetzt wird. Das ist gut für Open Source, beweist aber auch, dass auch Linux nicht unfehlbar ist. Der Artikel verweist aber auch daruf, dass oft bei diesen Angriffen der menschliche Faktor den entscheidenden Fehler begeht, in dem Pishing Mails als Einfallstor genutzt werden.

Mehr dazu bei https://www.bleepingcomputer.com/news/security/fbi-royal-ransomware-asked-350-victims-to-pay-275-million/
und https://www.bleepingcomputer.com/news/security/ethereum-feature-abused-to-steal-60-million-from-99k-victims/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yc
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8638-20240102-zwei-beispiele-von-hacks.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8638-20240102-zwei-beispiele-von-hacks.html
Tags: #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Fatenpannen #Pishing #Ransomware #Etherum #Kryptowährung #Gesundheitsdaten #Erpressung #eHealth