#datensicherheit

aktionfsa@diasp.eu

01.01.2024 Gesundheitsdaten in Gefahr

Sensible Daten müssen geschützt werden

Vor allem müssen sie möglichst nicht zentral gesammelt werden - am besten ist es natürlich, sie werden gar nicht erst erfasst. Immer wieder lesen wir Kommentare auf unsere Kritik an der elektronischen Patientenakte (ePA), dass es doch gut wäre, wenn man Doppeluntersuchungen vermeiden könnte und jederzeit auf alle für den Patienten erhobenen Daten zugreifen könnte.

Dazu müssen wir leider immer wieder feststellen:

  • Keine zentrale Datensammlung ist sicher. Das haben auch Hacker insbesondere für Gesundheitsdaten auf dem 37. CCC Kongress wieder unter Beweis gestellt (Gesundheitsdaten nur bedingt sicher ).
  • Mammut-IT-Projekte kosten Unsummen, bringen nur marginale Ergebnisse und erhöhen die Gefahr für unsere Daten (s. alle Berichte über die mehr als 6 Milliarden Euro für die eGK - eine Plastikkarte mit Foto).
    • Die für uns maximal zulässige Instanz für eine zentrale Sammlung wäre die eigene Krankenkasse. Hier könnte uns die Politik sogar entgegenkommen, wenn sie statt Hunderter Krankenkassen eine-für-alle schaffen würde, einschließlich der Privatversicherten.
  • Die Relevanz unserer Gesundheitsdaten für die Forschung nutzt vor allem den Pharmariesen.
  • Die Pseudonymisierung unserer Daten ist keine Anonymisierung und damit langfristig gefährlich.
  • Unsere Gesundheitsdaten sind überhaupt nicht relevant, da sie nur von den gesetzlich Versicherten stammen würden. Die Privatversicherten werden wieder einmal privilegiert behandelt.
  • Das ab heute zwingend gültige eRezept wird sicher nicht ab heute Standard, weil auch die Ärzte es nicht wollen.
    • Wir lehnen weiterhin jede Zwangsdigitalisierung ab, weil sie für viele das Leben schwerer anstatt leichter macht.

Wir verweisen auf einen offenen Brief, den ein Bündnis aus vierzehn zivilgesellschaftlichen Organisationen und Sicherheitsforscher, darunter CCC ebenso wie der Verbraucherzentrale Bundesverband, unter der Überschrift "Vertrauen lässt sich nicht verordnen" an die Verantwortlichen für unsere Gesundheitspoltik verschickt haben. Sie fordern darin, wie Heise.de berichtet, Korrekturen an den Plänen zur weiteren Digitalisierung des Gesundheitswesens, der Mensch sollte dabei im Zentrum stehen.

Kritisiert wird auch, dass künftig bei der Ausgestaltung des "Gesundheitsdatenraums" das Bundesamt für Sicherheit in der Informationstechnik und der Bundesbeauftragte für Datenschutz und die Informationsfreiheit lediglich "ins Benehmen gesetzt werden" sollen und kein echtes Mitspracherecht haben sollen. Auch die Patienten selbst sollen weitgehend außen vor bleiben. So ist bisher nirgends geplant, ihnen eine Nutzen, z.B. durch individuelle Informationen zu ihrem Gesundheitszustand, zukommen zu lassen, wenn die angeblich so wichtige Forschung mit ihren Gesundheitsdaten (lebens-) wichtige Ergebnisse bringen sollte.

Selbst eine Gemeinwohlorientierung der Forschungsergebnisse aus unseren Gesundheitsdaten ist nirgends festgeschrieben. Auch hier wird stattdessen nur Politik zur Gewinnmaximierung für die Pharmariesen gemacht.

Bei aller Kapitalismuskritik vergessen wir nicht die vielen Datenschutzmängel:
Alle unsere Artikel zu ePA+Datenverlusten https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePA+verlust&sel=meta

Mehr dazu bei https://www.heise.de/news/Elektronische-Patientenakte-Zivligesellschaft-und-Sicherheitsforscher-warnen-9572354.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yb
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8637-20240101-gesundheitsdaten-in-gefahr.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8637-20240101-gesundheitsdaten-in-gefahr.html
Tags: #eGK #ePA #seconduse #Profit #Forschung #Lücke #Widerspruch #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Freiwilligkeit #Zustimmung #Einwilligungserfordernis #elektronischePatientenakte #CCC #Skandale #RFID #elektronischeGesundheitskarte #eHealth #Zwangsdigitalisierung #Gematik

aktionfsa@diasp.eu

30.12.2023 Data Mining auf US Telefondaten

Wozu können Telefondaten genutzt werden?

Nach 15 Jahren in unserem Verein - wir feiern am 18.1.24 den 15 Gründungsgeburtstag - ist das eine unnötige Frage. Jahrelang haben wir bis zum Verbot durch BVerfG und EuGH gegen die Gesetze zur Vorratsdatenspeicherung (VDS) gekämpft. Die Speicherung allein von Metadaten - wer hat wann, wie oft, wie lange mit wem telefoniert - macht uns alle gläsern. Aus solchen Daten können auch leicht falsche Schlüsse gezogen werden und wir müssen dann als sogenannte False Positives "beweisen". dass wir etwas nicht getan haben. Das führt zu einer Umkehr der Unschuldvermutung, die eigentlich ein Grundpfeiler unseres Rechtsstaats sein sollte.

Nun berichtet Heise.de, dass ein geheimes Programm US-Strafverfolgungsbehörden auf Bundes-, Landes- und Kommunalebene ermöglicht auf die Telefondaten Millionen Unverdächtiger zuzugreifen.

  • Erstens: Wie kann es für normale Polizeibehörden überhaupt ein geheimes Programm geben?
  • Zweitens: Warum bringen die Telefonprovider solche Programme nicht sofort an die Öffentlichkeit, wenn sie dazu angefragt werden?

Denn heraus kam das Vorgehen nur durch die Analyse von durchgesickerten Polizeidokumenten durch das US-Magazin Wired. Man hatte mit der Hilfe des Telekommunikationsunternehmens AT&T eine Analyse von Anrufdetails durchgeführt. Solche Kettenanalysen sollten helfen, Kontaktnetzwerke aufzudecken, die über direkte Verbindungen zu Verdächtigen hinausgehen. Das ist weit mehr als nur die Speicherung von VDS-Daten, das ist Data Mining also die bei uns weitgehend verbotene Rasterfahnung.

So hat auch US-Senator Ron Wyden in einem von Wired veröffentlichten Brief an das Justizministerium "ernsthafte Bedenken hinsichtlich der Rechtmäßigkeit", schreibt Heise.de. Dabei ist das DAS genannte Programm (Data Analytical Services) nicht neu, sondern wurde bereits erstmals von der New York Times im Jahr 2013 öffentlich gemacht. In diesem Programm werden täglich vier Milliarden Einträge gespeichert. Skandalös ist, dass dieses Programm seit Jahren verdeckt finanziert wird und auch Präsident Joe Biden dafür erneut eine finanzielle Unterstützung in Höhe von 6 Millionen US-Dollar zur Verfügung gestellt hat.

Mehr dazu bei https://www.heise.de/news/US-Polizei-hatte-Zugriff-auf-Telefondaten-Millionen-Unverdaechtiger-9539654.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Tags: #DataMining #Rasterfahndung #Telefondaten #VDS #USA #AT&T #FalsePositives #Unschuldvermutung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Datenverluste #Wired #Biden #NYT #FBI #Polizei #Rechtsstaats #geheim #Cyberwar #Hacking #Transparenz #Informationsfreiheit

aktionfsa@diasp.eu

29.12.2023 Gesundheitsdaten nur bedingt sicher

KIM = Kaos in der Medizin

Eigentlich sollte KIM ein sicherer E-Mail Service für die Medizin, also die Kommunikation zwischen Krankenkassen und Ärzten sein. Etwas ähnliches gibt es auch seit Jahren im Bereich der Justiz für Gerichte und Anwälte. Insofern handelt es sich nicht um die grandiosiste Innovation.

Trotzem ging es schief. Wie auf dem 37. CCC Kongress in Hamburg von dem Münsteraner Sicherheitsforscher Christoph Saatjohann vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Münster und Sebastian Schinzel berichtet wurde, haben insgesamt acht Krankenkassen durch die Gematik den gleichen S/MIME-Key erhalten. Sichere E-Mail beruht auf dem seit den 80-iger Jahren von Phil Zimmermann entwickelten Public-Private-Key Verfahren. In öffentlichen Einrichtungen geschieht das nach dem Standard X.509, während im privaten Umfeld Jede/r seine Schlüsselpaare selbst generieren kann.

Wenn jedoch die Zertifizierungsstellen (CAs) für verschiedene Akteure die gleichen Schlüssel verteilen, dann war es das mit der Sicherheit sensibler medizinischer Daten. Das ist der GAU in der PKI - der Public Key Infrastructure.

Laut den Sicherheitsforschern hatten, wie Heise.de schreibt, einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28% der Bürgerinnen und Bürger seien über diese acht Krankenkassen versichert gewesen. Dieser Vorfall war nicht der erste mit KIM. 2022 wurde eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems gefunden.

Künftig werden die Schlüssel nun monatlich auf Dopplungen geprüft.

Mehr dazu bei https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Tags: #KIM #Gematik #Telekom #Scheinsicherheit #CCC #X.509 #Zertifizierungsstellen #doppelt #Keys #Schlüssel #Email #PP #GPG #Verbraucherdatenschutz #Datensicherheit #Datenpannen #Datenskandale #eGK #ePA #Datenverluste #Anwaltspostfach

aktionfsa@diasp.eu

27.12.2023 CCC Kongress wieder analog

CCC in Hamburg wieder zum "Anfassen"

So richtig analog und zum Anfassen startet in den letzten Tagen des Jahres wieder der CCC Kongress und diesmal (wieder) in Hamburg. Trotzdem werden die Veranstatungen auch im Stream zu sehen sein. Das Motto des 37. Chaos Communication Congress ist "Unlocked". Mehr als 130 Veranstaltungen finden vom 27. bis 30. Dezember im Congress Center Hamburg (CCH) statt. Netzpolitik.org berichtet über das Programm und die Highlights.

Die Themen sind

  • Gesundheitsdigitalisierung,
  • Online-Werbeindustrie,
  • digitaler Migrationskontrolle
  • KI,
  • Killerroboter,
  • Pushbacks,
  • Chatkontrolle,
  • das Hacken für die Zukunft,
  • und vieles mehr ...

Mehr zu den einzelnen Veranstaltungen entweder direkt auf den Seiten des CCC oder in den verlinkten Artikeln von netzpolitik.org.

Mehr dazu bei https://netzpolitik.org/2023/chaos-communication-congress-netzpolitik-org-auf-dem-37c3/
und https://netzpolitik.org/2023/37c3-unsere-tipps-fuer-den-chaos-communication-congress/

Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3y5
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8631-20231227-ccc-kongress-wieder-analog.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8631-20231227-ccc-kongress-wieder-analog.html
Tags: #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Gesundheitsdigitalisierung #KI #AI #Drohnen #Roboter #Cyberwar #Hacking #Trojaner #eBorder #Freizügigkeit #Unschuldsvermutung #Chatkontrolle #Ergonomie #Datenpannen #Datenskandale

aktionfsa@diasp.eu

18.12.2023 Angreifer können Tastenanschläge einschleusen

Bluetooth besser ausschalten

... oder zumindest kontrollieren ob alle aktuellen Patche installiert wurden. Das betrifft fast alle Smartphones und Desktop Rechner stellt der IT-Sicherheitsforscher Marc Newlin fest, der sich nach dem Entdecken des Fehlers in Android Geräten auch auf anderen Plattformen umgesehen hat.

Auch dort hat er festgestellt, dass sich ohne Authentifizierung auf den Geräten Tastenanschläge einschleusen lassen. Damit können Angreifer Nachrichten weiterleiten, Apps installieren, beliebige Befehle ausführen - also praktisch das Gerät übernehmen.

Jede/r kann zum False Positive werden

Dieser Vorfall macht auch wieder deutlich, wie gefährlich Gesetze für die Betroffenen werden können, die die Unschuldsvermutung umkehren, denn wie beweise ich, dass ich etwas nicht getan habe, wenn es von oder auf meinem Gerät passiert ist?

Ursache noch unklar

Der IT-Sicherheitsforscher wird seine Erkenntnisse demnächst öffentlich vorstellen. Bis dahin ist es noch unklar, ob der Fehler grundsätzlich im Bluetooth Protokoll steckt oder ob es lediglich Fehler in den Implementierungen sind. Heise.de vermutet die "Schuld" auf beiden Seiten und führt eine Reihe von Patches für die verschiedenen Betriebssysteme auf, die mehr Sicherheit bringen können. Diese werden jedoch auf einigen Architekturen nicht standardmäßig bei Updates installiert. Bei den neuesten macOS- und iOS-Updates ist die Lücke wohl geschlossen.

Mehr dazu bei https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xV
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Tags: #Bluetooth #Tastaturen #Cyberwar #Hacking #Trojaner #Authentifizierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #FalsePositives #Unschuldsvermutung #Verhaltensänderung #MacOS #Linux #Android #iOS #Windows #Datenverluste

aktionfsa@diasp.eu

DigiG und GDNG beschlossen

Widerspruch zur ePA ... nun bald möglich

"Ein Widerspruch gegen ein Noch-Nicht-Gesetz ist nicht möglich." Das war die Aussage der BKK auf einen Widerspruch zur Zwangs-ePA im Frühsommer. Nun ist das Gesetz da und der Weg zum Widerspruch muss möglich sein. Lieber wäre es uns gewesen, wenn der Gesetzgeber im letzten halben Jahr dazu gelernt hätte und auf die Zwangs-ePA verzichtet hätte.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) rät nun:

"Am 14. Dezember 2023 hat der Bundestag in 2./3. Lesung das Digital-Gesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG) verabschiedet. Der Gesetzentwurf des DigiG sieht vor, dass die Krankenkassen ab dem 15. Januar 2025 verpflichtet sind, ihren Versicherten eine elektronische Patientenakte (ePA) zur Verfügung zu stellen, sofern die Versicherten nicht nach vorheriger Information innerhalb einer Frist von sechs Wochen gegenüber ihrer Krankenkasse widersprechen. Beide Gesetze sind noch nicht in Kraft getreten."

Danach kann es weiter vorkommen, dass Krankenkassen wie in dem oben beschriebenen Fall den Widerspruch nicht annehmen, eben weil die Gesetze noch nicht in Kraft sind. Spätestens nach der Unterschrift durch den Bundespräsidenten kann sich aber keine Kasse mehr rausreden. Wichtig ist der späteste Termin des Widerspruchs 6 Wochen nach einer Information über die Einrichtung der ePA durch die Krankenkasse.

Welche Gründe es gibt, gegen die Einrichtung einer ePA zu sein, haben wir in vielen Artikeln und auch in zwei Diskussionssendungen bei Alex TV im Offenen Kanal Berlin thematisiert.

Weiterhin ist ein zentraler Kritikpunkt der ungehinderte Zugriff auf unsere Gesundheitsdaten durch (beliebige) "Forschungseinrichtungen", denn das bedeutet im Endergebnis, dass wir zu Versuchskaninchen der Pharmaindustrie werden. Aber auch die fehlende Segmentierung des Zugriffs z.B. auf psychologische Daten und der möglich Missbrauch durch nichtautorisiertes Krankenhauspersonal sind weiterhin zu kritisieren.

Außerdem sehen wir in dieser Zwangsdigitalisierung eine Diskriminierung der Menschen, die durch die Nicht-Inanspruchnahme von Smartphones und Laptops bereits in vielen Bereichen des Lebens von der Teilhabe ausgeschlossen werden.

Mehr dazu bei https://www.bfdi.bund.de/DE/Buerger/Inhalte/GesundheitSoziales/eHealth/WiderspruchgegendieePA.html
und alle unsere Artikel zur ePA https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePA+eGK&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xT
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8620-20231216-digig-und-gdng-beschlossen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8620-20231216-digig-und-gdng-beschlossen.html
Tags: #DigiG #GDNG #opt-out #eGK #ePA #Arbeitnehmerdatenschutz #Lücke #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Freiwilligkeit #Zustimmung #Einwilligungserfordernis #elektronischePatientenakte #CCC #Skandale #RFID #elektronischeGesundheitskarte #eHealth #Zwangsdigitalisierung #Gematik

aktionfsa@diasp.eu

13.12.2023 Förderung von Open Source in Kinderschuhen

Weiter Milliarden für die Internet-Giganten

Als man noch Opposition war, versicherten Grüne und SPD, dass sie Open-Source-Software in der Entwicklung aber vor allem im Einsatz in Schulen und Universitäten aber auch Behörden unterstützen würden. Nach 2 Jahren Ampel-Regierung sieht man, dass auch aus diesem Verprechen nichts geworden ist.

Netzpolitik.org schreibt zu dem Thema: Die Bundesregierung gibt Milliardensummen für Produkte großer IT-Konzerne wie Microsoft und Oracle aus und nimmt dabei die starke Herstellerabhängigkeit in Kauf. Das geht aus einer Antwort auf eine Kleine Anfrage der Linken-Politikerin Anke Domscheit-Berg zum Thema Digitale Souveränität und Open-Source-Lösungen hervor.

Die Abgeordnete veröffentlichte zu ihrer Frage und der Antwort der Regierung eine Analyse, von der die Bundesregierung Teile zur Verschlusssache erklärte. Das ist auch eine Möglichkeit die Opposition ruhig zu stellen ...

Einige Zahlen:

  • Microsoft bekommt über Rahmenverträge 1,2 Milliarden Euro,
  • Oracle allein 4,8 Milliarden Euro,
  • für OSS - Open Source Software - wurden vom Digitalministerium von den mehr als 22 Millionen Euro lediglich 121.000 Euro ausgegeben,
  • für IT Dienstleistungen wurden 18,6 Millionen Euro für OSS gezahlt,
  • allerdings gingen 99,5 Prozent des Gesamtvolumenvon ca. 3,5 Milliarden Euro für Dienstleistungen für proprietäre Software drauf.

Die Bundesregierung bewertet die Abhängigkeiten von den Internetgiganten weiterhin "als kritisch", tut aber wenig dagegen. Und das, obwohl der Entwurf für das neue Onlinezugangsgesetz (OZG) von Behörden fordert „IT-Komponenten dort, wo es technisch möglich und wirtschaftlich ist, als OSS bereitzustellen“ und ihr vor anderer Software den Vorrang zu geben, „deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt“.

Wenn das Gesetz wäre, kann es "eigentlich" keinen Grund mehr geben bei den Big5 zu kaufen ...

Mehr dazu bei https://netzpolitik.org/2023/digitale-souveraenitaet-milliarden-fuer-oracle-microsoft-und-co-statt-fuer-open-source/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xQ
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8617-20231213-foerderung-von-open-source-in-kinderschuhen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8617-20231213-foerderung-von-open-source-in-kinderschuhen.html
Tags: #OpenSource #Software #Big5 #GAFAM #Microsoft #Oracle #Onlinezugangsgesetz.OZG #Bundesregierung #Lizenzen #DigitaleSouveränität #Transparenz #Informationsfreiheit #Verschlusssache #Datenschutz #Datensicherheit #Ungleichbehandlung

aktionfsa@diasp.eu

Meta führt Abogebühren ein

Geld oder Daten!

"Umsonst" war gestern. Der Meta-Konzern von Marc Zuckerberg macht ernst: Entweder schließen die Nutzer ein Abo ab, oder sie können die Plattformen nur mit personalisierter Werbung nutzen.

Fortschritt oder totale Abhänigkeit?

Für das persönliche Bewußtsein der Nutzer könnte es ein helles Lichtlein zur Weihnachtszeit sein, denn nun müssen sie kapieren, das es dort nichts umsonst gibt. Mit einem Abo von z.Zt, geplanten 9,99 bis 12,99 Euro im Monat wird einem gewaltig das Geld aus der Tasche gezogen - und viele werden nach einem Probeabo hoffentlich das rechtzeitige kündigen nicht vergessen ...

Ab dem 1. März 2024 werden für jedes Zusatzkonto dann weitere sechs beziehungsweise acht Euro fällig, schreibt tagesschau.de. Diese neue Regelung gilt bisher nur in der EU und in vier weiteren Ländern.

Warum trifft es die EU?

Falsche Frage, es trifft nicht die EU, sondern die EU hat Zuckerberg hart getroffen und zwar mit den Schrems Urteilen des EuGH (Kampf gegen Facebook geht weiter). Wieder zitieren wir tagesschau.de: Danach verstößt Meta mit seinen Plattformen Instagram und Facebook bereits seit fünf Jahren gegen die Datenschutzgrundverordnung (DSGVO). Laut dieser müssem Nutzerinnen und Nutzer aktiv und informiert und freiwillig einwilligen bevor personenbezogenen Daten von ihnen gesammelt und verarbeitet werden dürfen.

Fünf Jahre hat Meta diese Urteile einfach ausgessen und argumentiert, sie hätten die Einwillung all ihrer Nutzer bereits bei deren Anmeldung erhalten. Nachdem nun die zuständige irische Datenschutzbehörde Meta im Januar mit einem Bußgeld von 390 Millionen Euro belegte, steuert man dort um.

Erfreulich ist, dass nach einer nichtrepräsentativen Umfrage unter NutzerInnen das Abo als viel zu teuer angesehen wird. Es ist also zu hoffen, dass Viele von diesen Diensten Abstand nehmen werden.

Mehr dazu bei https://www.tagesschau.de/wirtschaft/verbraucher/instagram-werbung-zahlungspflichtig-daten-100.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xM
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8614-20231210-meta-fuehrt-abogebuehren-ein.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8614-20231210-meta-fuehrt-abogebuehren-ein.html
Tags: #DSGVO #Datenkraken #Meta #Abo #Gebühren #Klage #Irland #MaxSchrems #EU #aSozialeNetzwerke #Verhaltensänderung #Instagram #Facebook #Meinungsmonopol #Meinungsfreiheit #Verbraucherdatenschutz #Datenskandale #Datensicherheit #Überwachung #DataMining

aktionfsa@diasp.eu

###09.12.2023 Rahmen für KI-Act steht
Grundzüge können noch aufgeweicht werden

Nach 38 Stunden haben sich die Unterhändler von Europaparlament und EU-Staaten nun auf Grundzüge des "AI Act" geeinigt. Würde es in diesem Tempo weitergehen, dann hätte die EU als erste auf der Welt eine Regelung zur künstlichen Intelligenz vorgelegt. Die ebenfalls laufende Diskussion in den USA steckt noch in den Anfängen und ist - wie üblich - viel offener gegenüber den Wünschen der entsprechenden Lobby.

Positiv und negativ

Den vorliegenden Rahmen zu bewerten ist noch nicht endgültig möglich, weil in den weiteren Verhandlungen noch viele erreichte Punkte durch Formulierungen aufgeweicht werden können. Relativ fest stehen bislang folgende Punkte

  • Die Entwickler müssen die Qualität der für die Entwicklung der Algorithmen verwendeten Daten gewährleisten und sicherstellen.
  • Die KI-Entwicklung darf keine Urheberrechte verletzen.
  • Durch Künstliche Intelligenz geschaffene Texte, Bilder und Töne müssen entsprechend markiert werden.
  • Die Regeln für biometrische Gesichtserkennung durch KI, die eigentlich völlig verboten werden sollte, kann zu Zwecken der nationalen Sicherheit eingesetzt werden. Auch wenn sich dies auf "konkrete Bedrohungen" beschränkt wissen, wir, dass solche Regelungen künftig verallgemeintert werden können.
  • Für "risikoreiche" Anwendungen, etwa bei kritischer Infrastruktur, Sicherheitsbehörden und öffentlicher Personalverwaltung sollen "verschärfte Regelungen" gelten.

Vor 3 Wochen berichteten wir über die Vorbehalte von Deutschland und Frankreich gegen die Vorschläge zum KI-Act. Beide Länder hatten zuvor gefordert, dass nur konkrete Anwendungen von KI reguliert werden sollten, nicht aber die Basis-Technologie an sich. In den sogenannten Basismodelle, wie z.B. Chat-GPT, steckt die Wissensbasis und diese möchten die beiden Länder nicht aus Europa vertreiben. Auch Digital- und Verkehrsminister Volker Wissing appelliert, wie tagesschau.de schreibt, an die EU, international abgestimmt vorzugehen und "keinen Alleingang" zu wagen. So gibt es Befürchtungen, Start-Up-Unternehmen wie Aleph Alpha aus Deutschland und Mistral AI in Frankreich könnten in ihrer Entwicklung behindert werden.

Bei diesen Randgefechten verschwinden oft die für die Privatsphäre des Einzelnen wichtigen Punkte, wie die nun doch erlaubte Nutzung biometrischer Gesichtserkennung oder die Verwendung von KI bei Ermittlungen in Sicherheitsbehörden. Wir werden die Diskussion weiter beobachten ...

Mehr dazu bei https://www.spiegel.de/netzwelt/netzpolitik/ai-act-eu-erzielt-einigung-auf-regeln-fuer-kuenstliche-intelligenz-a-54d0ff03-d275-4c3a-b1b9-c491a0a258cd
und https://www.tagesschau.de/ausland/europa/eu-kuenstliche-intelligenz-regulierung-100.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xL
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8613-20231209-rahmen-fuer-ki-act-steht.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8613-20231209-rahmen-fuer-ki-act-steht.html
Tags: #KIAct #EURat #Trilog #Algorithmen #künstlicheIntelligenz #KI #AI #Transparenz #Informationsfreiheit #Anonymisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #FalsePositives #Seiteneffekte #Nebenwirkungen #Diskiminierung #Überwachung #DataMining #Rasterfahndung

aktionfsa@diasp.eu

04.12.2023 Sichere Messenger

Welcher Messenger ist der Richtige für mich?

Derzeit sind Aktive unseres Vereins in Berlin und Umgebung unterwegs, um über die Überwachung unser aller Kommunikation durch staatliche Behörden oder datenhungrige Unternehmen zu sprechen. Dabei versuchen wir aufzuzeigen, welche Möglichkeiten man hat, sicher verschlüsselt mit anderen zu kommunizieren.

Zu diesem Thema gibt es auf unseren Webseiten, auch unter der Rubrik "Publikationen", bereits einiges

  • Folgerungen aus den Enthüllungen von Edward Snowden
  • Überwachung durch "den Staat"
  • Überwachung durch Unternehmen
  • Private Daten schützen
  • Zwangsdigitalisierung

Darüber hinaus haben wir in vielen Artikeln dargelegt, welche technischen Möglichkeiten man hat, sicher und anonym zu kommunizieren

  • Privatsphäre schützen - Was kann ich tun?
  • Technische Hilfe für die Installation
  • Linux Alternativen zu Windows Programmen
  • Hilfe zu sinnvollen Linux/Unix Befehlen

Inhalt des Workshops

Der folgende Text umfasst derzeit nur die wichtigen Hinweise und Links, die die TeilnehmerInnen erhalten und muss noch in der Folge erweitert und durch Links vervollständigt werden.

Vorstellung des Vereins
Aktion Freiheit statt Angst e.V. seit 2009 am schnellsten zu finden unter dem Link https://a-fsa.de
Unsere Offenen Treffen finden monatlich im Linkstreff Wedding, Malplaquetstr. 12 statt.
In unserem Web gibt es tausende Artikel zu Datenpannen und -skandalen https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=datenpannen&sel=meta

Überwachung durch Staat+Unternehmen
Hinweis auf

  • Snowden Enthüllungen: PRISM und die 15.000 gefährlichen Worte
  • Überwachung durch Staat: VDS, BKA Novelle, Lauschangriff, RFID-Chips im Pass, Fingerabdruck im Ausweis, PNR, Chatkontrolle,
  • Überwachung durch Unternehmen: WhatsApp, Big5, GAFAM, Schufa, eGK+ePA, DB, DHL

Klagen von Bürgerrechtlern und NGOs führten zu BVerfG- und EuGH-Urteilen und Datenschutzgesetzen, die die Grundrechte der Menschen festigen

  • Volkszählungsurteil 1983,
  • Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme,
  • Nichtigkeit des Gesetzes zur Vorratsdatenspeicherung (VDS),
  • Schrems-Urteile gegen Facebook
  • EU Verordnungen: DSGVO, DataServiceAct, ...

Messenger

... bezeichnet ein Programm mit dem Nachrichten ausgetauscht werden können.
... gibt es für die verschiedenen Betriebssysteme: PC Mac, Win, Linux, Android, iOS.

Normale E-Mail können alle, ist aber veraltet und bei 90% der Nutzer unverschlüsselt. Zur Kommunikation mit Firmen und Behörden ist sie weiter unerlässlich. Wenn man sie im Freundeskreis nutzt, dann sollte man dies verschlüsselt tun, z.B. mit dem Mailprogramm Thunderbird.
Die Auswahl, welchen Messenger man nutzen möchte, sollte man mit seinen Partnern treffen (auch um die Anzahl der Apps auf dem eigenen Gerät gering zu halten).

WhatsApp, Google, Microsoft Teams, ... sind gefährlich weil sie persönliche Daten abgreifen. Bei WhatsApp kann man sich sogar strafbar machen, denn Facebook liest das eigene Telefonbuch regelmäßig aus. Laut der Facebook AGBs hat man das Einverständnis aller Menschen in den eigenen Kontakten, dass deren Daten weitergegeben werden dürfen, was wohl auf niemanden wirklich zutrifft. (Man garantiert seinen Kommunikationspartnern die Einhaltung der Vorschriften der DSGVO).

Sichere Messenger
Hier einige Alternativen, die alle Ende zu Ende verschlüsselt laufen. Einige nutzen zentrale Server, andere funktionieren Peer2Peer (P2P). Einige verschleiern die eigene IP-Adresse in dem sie den Datenverkehr über mehrere Knoten (im Tor Netzwerk) laufen lassen.

Gute Alternativen Server Tor Anmerkung
BitMessage - nur auf Desktop-Geräten, keine Anhänge
Briar - QRcode mit Partnern persönlich austauschen
Conversations + Omemo auf XMPP, veraltet
Gajim + auf XMPP, veraltet
Jitsi + nur Tel.+ Video
OnionShare - + nur Dateitransfer
Retroshare

Session - + Mess. + Tel.
Siskin - auf XMPP,
Threema + nicht kostenlos
uTox - Mess. + Video
Wire + Mess. + Tel.

Features von Session
Wir wählen hier für die Installation eines Messengers "Session". Jede/r muss das entsprechend der eigenen Bedürfnisse entscheiden.

Jede/r bekommt beim ersten Start der App eine Session ID und eine Recovery Phrase. Nur mit der Recovery Phrase lässt sich der Account (z.B. auf einem anderen Gerät) wiederherstellen.
Die Session ID ist nötig zur Kommunikation. Der Austausch der Session ID muss über "einen 2. Weg" oder bei einem persönlichen Treffen erfolgen.

Die Kommunikation ist verschlüsselt und verbirgt die eigene IP-Adresse durch Nutzung des Tor-Netzwerks.
Es gibt eine Pull und Push Variante (Alarm bei jeder neuen Nachricht).
Push kann z.B. bei der Installation über den Google Play Store ausgewählt wrden: Auswahl schnelle Nachrichten über Google oder sonst langsam
Aber Vorsicht, will man das wirklich? Der Push Service nutzt Google!
Telefon und Video sind noch im Versuchsstadium (die Verbindungen sind dann P2P, also ohne Tor Netzwerk)

Quellen + Installation von Session
Verfügbar ist z.Zt. V 1.17.4 von 10.23

Apple https://apps.apple.com/de/app/session-private-messenger/id1470168868
Google https://play.google.com/store/apps/details?id=network.loki.messenger&hl=de_CH
F-Droid https://getsession.org/f-droid
APK direkt herunterladbar: https://github.com/oxen-io/session-android/releases
für PCs bei https://getsession.org/

Fragen
?

Verwandte Themen

Open Source: quelloffene nachvollziehbar geprüfte Software

Suchen im Web möglichst nicht mit Google
Alternativen: Startpage, Duckduckgo, Ecosia

Passworte schützen: KeePassX, u.a.
Mit einem Passwort lassen sich sämtliche Zugangsdaten verschlüsselt speichern.

Eigene Daten schützen: TrueCrypt, VeraCrypt
Wichtig sind das Backup der eigenen Daten und ihre sichere Verschlüsselung.
Beides garantieren diese verschlüsselten Container.
Die Daten können sogar unsichtbar außerhalb von den genutzten Partitionen angelegt werden.

Im Neuen Jahr werden die Veranstaltungen z.B. am Safer Internet Day, am Di., 13.2.24 um 19h bei unserem Offenen Treffen im Linkstreff Wedding, Malplaquetstr. 12 fortgesetzt. Wir bitten um kurze Anmeldung per Mail an kontakt@aktion-fsa.de
Wir freuen uns über Hinweise oder Ergänzungen, da wir festgestellt haben, dass jeder Abend je nach Bedürfnissen und Vorwissen der Teilnehmer anders abläuft.

Mehr dazu bei https://www.aktion-freiheitstattangst.org/de/articles/7898-20220118-persoenliche-daten-sollen-privatangelegenheit-bleiben.html
und bei den oben bereits angegeben Links
Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/3xF
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8608-20231204-sichere-messenger.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8608-20231204-sichere-messenger.html
Tags: #Messenger #Anonymisierung #Lauschangriff #Überwachung #GAFAM #Big5 #DSGVO #BVerfG #Verschlüsselung #Smartphone #Handy #OpenSource #F-Droid #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale

aktionfsa@diasp.eu

30.11.2023 Campact wurde angegriffen

Wer hat diesen Angriff bezahlt?

Heute bekamen wir eine Nachricht von Campact, die darauf hinweist, dass nicht nur Firmen Opfer von Hackern werden, sondern das auch NGOs treffen kann. Auch wenn es nicht um die Verschlüsselung der eigenen Daten und der Erpressung von Lösegeld geht - was bei Campact kaum zu holen wäre - so hat der Angriff trotzdem alle betroffen. Die Campact-Vorständin Daphne Heinsen schreibt uns:

Ich konnte es kaum glauben, als ich meinen Rechner öffnete: Eine unserer Kampagnen hatte über Nacht mehr als 50.000 neue Unterschriften gewonnen. Zuerst freute ich mich – und wurde dann stutzig. Wir hatten keinen Newsletter verschickt, das Thema auch sonst nicht beworben. Woher kam dieses explosionsartige Wachstum?

Unser Technik-Team schaute sich den Fall an. Schnell war klar. Hier ist etwas faul. Die neuen Unterstützerinnen waren zwar mit gültigen E-Mail-Adressen, aber innerhalb weniger Stunden im Sekundentakt dazugekommen. Damit stand fest: Die Unterschriften kamen nicht von Einzelpersonen – unsere Datenüberprüfung wurde ausgehebelt. Wir waren Opfer einer ungewöhnlichen Cyberattacke.

Ich war verwirrt. Warum beschert uns ein Angriff neue Unterschriften? Dann erkannte ich den Gedanken hinter der Attacke: Campact lebt von seiner Glaubwürdigkeit – genau darauf hatten die Angreiferinnen es abgesehen. Manipulierte Zahlen, das hätte unserem Ruf gewaltig geschadet.

Wir reagierten sofort, löschten die fingierten Unterschriften und schalteten die Petition vorläufig ab. Parallel optimierte unsere IT die Sicherheitsstandards – kurz darauf war alles wieder online, nun mit Hinweis auf den Angriff. Doch mir war klar: Das wird nicht das letzte Mal gewesen sein. Wir müssen uns besser schützen.

Mittlerweile liegen uns erste Angebote für neue, langfristig wirksame IT-Sicherheitskonzepte vor. Die naheliegendste Entscheidung wäre der US-amerikanische Marktführer. Das System ist bewährt, die Kosten vertretbar. Das Problem: Wir könnten unser hohes Datenschutzniveau nicht halten. Die Daten würden auf Server wandern, auf die US-amerikanische Nachrichtendienste zugreifen können. Deshalb möchten wir auf einen europäischen Anbieter zurückgreifen. Das ist zwar deutlich teurer – doch dafür sind unsere Daten und Systeme besser geschützt. In den nächsten Tagen wollen wir uns für eine Lösung entscheiden. Nur: Die Sonderausgaben haben wir weder dieses noch nächstes Jahr eingeplant.

... und das bedeutet Einsparungen an anderer Stelle und das reduziert die normale aber genauso wichtige Arbeit. Deshalb bittet Campact um Spenden.

Weiter stellt Campact sehr richtig fest: ... Cyberattacken sind zu einem lukrativen Geschäftsfeld geworden. Es klingt absurd, aber politische Gegner können sich Bausteine für einen Angriff auf unsere Bürgerbewegung quasi als Serviceleistung einkaufen. Irgendjemand, der Campact diskreditieren möchte, hat wohl in seine Geldbörse gegriffen und eine diletantische Attacke bestellt. Gut, dass Campact damit sofort an die Öffentlichkeit gegangen ist.

Mehr dazu bei https://campact.de
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xA
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8603-20231130-campact-wurde-angegriffen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8603-20231130-campact-wurde-angegriffen.html
Tags: #Campact #NGO #Cyberwar #Hacking #Trojaner #Transparenz #Informationsfreiheit #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Diskriminierung #Verhaltensänderung

aktionfsa@diasp.eu

25.11.2023 "Zugangsdatenabfluss" bei Outlook

Bundesdatenschützer zeigt sich besorgt

Microsoft möchte deine Zugangsdaten in der Cloud speichern. Warum? NEIN, das sind meine!

Dass dies im "neuen Outlook" so ist und die Zugangsdaten in Microsofts Cloud landen, kam vor rund anderthalb Wochen heraus. Inzwischen haben nicht nur der Bundesdatenschützer Ulrich Kelber, sondern auch andere Datenschutz-Experten und -Beauftragte, wie der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Lutz Hasse, zum Verzicht auf den Einsatz der neuen Outlook-Version geraten. Die Stellungnahme von Herrn Hasse ist hier als PDF einsehbar.

Microsoft hat auf die Kritik gegenüber Heise.de und ct reagiert und stellt fest: Nutzer, die ihre Konten nicht mit der Microsoft Cloud nutzen wollen, sollten beim Wechsel den Vorgang abbrechen und zum klassischen Outlook zurückwechseln können.

Danke für die Gnade!

So viel Entgegenkommen - wir haben noch(!) das "Wahlrecht": "Verzichten Sie auf die neue Outlook-Version!" Da sind wir auch dafür - der Autor hat sich schon vor fast 25 Jahren geweigert der Anweisung seines Arbeitgebers zu folgen und Microsoft Outlook zu nutzen - denn es gab und gibt viele andere privatspäreschützende Alternativen, allen voran Thunderbird.

Der ehemalige Datenschützer von Baden-Württemberg, Brink, weist laut Heise.de darauf hin, dass man sich mit dem Speichern von Zugangsdaten in der Cloud sogar strafbar machen kann: "Das kann sogar ein Rechtsverstoß des Nutzers sein, etwa wenn er als Mitarbeiter des öffentlichen Dienstes oder Träger von Geschäftsgeheimnissen seines Unternehmens bestimmten Geheimhaltungsvorschriften unterliegt, die eine Speicherung sensibler Daten in der Cloud verbieten. Zudem gibt der Nutzer damit Microsoft Zugriff auf die Inhalte der Mails – und das darf er in aller Regel nicht."

Der Bundesdatenschützer hat wegen der Zuständigkeit für Microsoft in der EU seine irischen Kollegen nach ihrer Einschätzung des Vorgangs angefragt. Noch hat Microsoft das neue Outlook nicht als finale Fassung markiert, so sollten theoretisch für den Konzern noch leicht gesichtswahrende Korrekturen möglich sein.

Mehr dazu bei https://www.heise.de/news/Zugangsdatenabfluss-im-neuen-Outlook-Datenschuetzer-raet-zum-Verzicht-9535170.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xu
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8597-20231125-zugangsdatenabfluss-bei-outlook.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8597-20231125-zugangsdatenabfluss-bei-outlook.html
Tags: #Passwörter #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Microsoft #Outlook #Cloud #Anonymisierung #Smartphone #Handy #Verschlüsselung #Privatsphäre #Verhaltensänderung #Big5 #GAFAM #Thunderbird #eMail

aktionfsa@diasp.eu

24.11.2023 So viele Passwörter merken?

Scheitern an der Menge der Passwörter?

Beim Stöbern sind wir gerade bei geatpocket von Mozilla in Zusammenarbeit mit Heise Security über eine Sammlung von Links zum Thema Passwörter gestoßen, die wir hiermit gern bekannt machen wollen. Denn Jede/r kennt inzwischen das Problem, dass man sich auf irgendeiner Webseite anmelden soll und sich dafür einen Usernamen und ein Passwort ausdenken und eingeben soll.

Was tun?

... fragte schon Lenin und gab auch gleich Antworten darauf - das möchten wir auch tun.

  • Nicht für verschiedene Anwendungen die gleichen Anmeldedaten verwenden.
  • Nicht die Anmeldedaten auf irgendwelchen Zetteln oder gar in einer unverschlüsselten Datei auf PC oder Smartphone sammeln.
  • Auch nicht den angeblich vertrauenwürdigen Clouds der BIG5 zum Ablegen von Anmeldedaten vertrauen.
  • Nicht auf Webseiten hereinfallen, die angeblich prüfen ob das eigenen Passwort sicher oder bereits "geknackt" wurde. (Ausnahme: s.u.)
  • Anmeldedaten, bestehend aus der URL, dem Nutzernamen und dem Passwort, lassen sich leicht in einem Passworttresor, wie z.B. KeePassX, ablegen und sind dann auf Knopfdruck (Ctrl c) einsetzbar. Nur zum Öffnen des Tresors muss man sich ein möglichst gutes Passwort merken.
  • PassKeys verwenden (s.u.)

Dazu verweist der Artikel auf Passwörter sind ein Auslaufmodell und schreibt: Jürgen Schmidt erklärt, warum Passwörter kaputt sind und warum auch die oft gepriesene Zwei-Faktor-Authentifizierung das nicht retten kann. In Passwort-Manager in der Praxis sind noch andere Programme/Möglichkeiten erklärt.

Hier die Ausnahme zum Passwort testen (s.o.): ob deine digitale Identität durch ein Datenleck im Netz gelandet ist, kannst du über den „Identity Leak Checker” prüfen. Im Gegensatz zu anderen Websites dieser Art soll der Service des Hasso-Plattner-Instituts vollkommen DSGVO-konform arbeiten.

Wie lang soll ein Passwort sein?

6-8 Zeichen sind in wenigen Sekunden geknackt. Bis vor kurzer Zeit gingen wir noch von 12 Zeichen aus, nun sollten es eher 14-16 Zeichen sein. Das bedeutet auch, dass man sich den Zeichensalat z.B. nur noch als Anfangsbuchstaben eines Satzes oder Gedichts merken kann. Also auch hier führt kein Weg an einem Passworttresor vorbei. Das hier verlinkte Bild ist jedenfalls nach 6 Jahren keinesfalls mehr aktuell https://www.aktion-freiheitstattangst.org/images/ext/PasswordHackZeit.jpg

Hinzu kommt, dass sich Passwörter mit Unterstützung künstlicher Intelligenz teilweise schneller knacken lassen als dem bisher üblichen "Ausprobieren" (Brute Force). Die Autoren des verlinkten Artikels kamen zu dem Schluss, dass sich die Hälfte der gängigen Passwörter mit KI in unter einer Minute knacken ließen.

Und schließlich der Artikel über Passkeys: Wie ein Account ohne Passwort funktioniert beschreibt, wie etwas einfacher und trotzdem sicherer werden kann.

Mehr dazu bei https://getpocket.com/de/collections/passwoerter-so-bewegst-du-dich-sicher-im-netz
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xt
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8596-20231124-so-viele-passwoerter-merken.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8596-20231124-so-viele-passwoerter-merken.html
Tags: #Passwörter #Passkey #Passworttresor #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Cyberwar #Hacking #Trojaner #BruteForce #Privatsphäre #Verhaltensänderung #Big5 #GAFAM

aktionfsa@diasp.eu

23.11.2023 E-Mail Programm kommt in die Jahre

Einfach - und funktioniert seit Jahrzehnten

Das E-Mail Protokoll wurde in den 80-iger Jahren erfunden, um Nachrichten von einem Rechner zum nächsten zu schicken. Dafür wurde schon 1982 das @-Zeichen verwendet. Um irgendwelche Sicherheitsfeatures musste man sich keine Sorgen machen, denn das Internet war noch nicht erfunden. So konnten sich Mail Server über das SMTP-Protokoll, das Simple Mail Transport Protocol, mit einem einfachen HELO anrufen und ihre Daten verschicken.

Inzwischen geschieht das natürlich verschlüsselt aber immer noch mit SMTP, Mail abholen geht ebenfalls seit Jahrzehnten mit POP3 oder IMAP - auch verschlüsselt. Und es geht seit 30 Jahren sogar mit beliebigen MIME-codierten Dateianhängen (Multipurpose Internet Mail Extensions), solange diese nicht zu groß sind (vereinbart wurden max 5MB) - egal ob der Rechner Mac, Windows oder Linux spricht, ein Android oder ein Apple Smartphone ist. Das ist der Vorteil eines vereinbarten Protokoll, an das sich alle halten müssen.

Und die Nachteile?

  1. Der wohl am meisten gehasste Nachteil sind die massenhaften Spam Nachrichten, die wir sekündlich erhalten. Spam zu versenden ist mit SMTP super einfach, man braucht nur massenhaft SMTP-Sitzungen eröffnen und kann dann Nachrichten bei anderen Servern abladen. Inzwischen gibt es zwar relativ intelligente Spam Filter, aber denen kann leicht eine wichtige Nachricht zum Opfer fallen oder sie sind so eingestellt, dass immer noch Spam durchrutscht - ärgerlich. Viel gravierender ist, dass der Spamanteil an den umlaufenden Mails einen erheblichen Teil des Internetverkehrs ausmachen und dafür Energie verbraucht wird. Oft werden auch Server, die viele Mails (z.B. Newsletter) versenden fälschlicherweise als Spam-Schleuder betrachtet und von anderen blockiert. (Das passiert unserem Verein regelmäßig durch microsoft365.com und wir müssen denen dann klar machen, dass wir die Guten sind ... Auch Heise.de berichtet von ähnlichen Erlebnisse mit Googles gmail Postfächern.)

  2. Spoofing: Jeder kann sich als Jeder ausgeben, z.B. als Obama@WhiteHouse.gov. Zwar kann man so etwas auch leicht als Fake erkennen, aber dazu muss man in den Header der Mail schauen, um zu sehen woher sie wirklich kommt.

  3. ASCII-Zeichensatz: In den 80-igern gab es (in den USA) nur den American Standard for Character Information Interchange (ASCII), der einen 7-bit Zeichensatz für E-Mail definierte. Drum herum wurden Wege für andere Zeichensätze gefunden, aber der aus der Zeit gefallene ASCII Zeichensatz blieb leider als Kern erhalten.

  4. Verschlüsselung: Mail Server reden in der Regel TLS-verschlüsselt, aber das ist nicht verpflichtend.

  5. Ende-zu-Ende-Verschlüsselung: Die Transportverschlüsselung mit TLS zwischen den Servern reicht uns aber nicht aus. Wir möchten, dass auch auf den Zwischenknoten die Inhalte unserer Mails nicht gelesen werden. Dazu ist eine Ende-zu-Ende-Verschlüsselung, z.B. mit GPG notwendig, die das Mailprotokoll nicht vorsieht. Dazu sind zusätzliche Programme notwendig, die nicht alle Mailprogramme vor sich aus mitbringen. Thunderbird für alle PC-Betriebssystem kann es und auch K9-Mail für Android.

Völlig unverständlich ist, dass die für viele - leider nicht alle - verfügbare Ende-zu-Ende-Verschlüsselung nur zu weniger als 10% der wirklich real wichtigen Mails genutzt wird. Selbst das staatlich geförderte Projekt DE-Mail - sicher verschlüsselte Mail für Deutschland wurde für Post und Telekom ein Verlust und wurde wieder eingestampft. Auch andere "Zusätze", wie das "besondere elektronische Anwaltspostfach" für den Verkehr zwischen Anwälten und Gerichten hatten viele Anlaufprobleme. Für das Gesundheitswesen baut die Gematik an der Telematik-Infrastruktur, über deren andauernde Probleme wir schon oft berichten mussten.

Statt einer grundsätzlich neuen Struktur für den Nachrichtenaustausch haben private Firmen in den letzten 10 Jahren eigene Messenger aufgebaut, denen (absichtlich) die Interoperabilität fehlt mit anderen Messengern Nachrichten auzutauschen. Es gibt auch bei diesen Messengern einige - die natürlich nicht von den Big5 kommen, denen man vertrauen kann, wie z.B. Signal, Threema, Gajim, Session, u.v.a.

Mehr dazu bei https://www.heise.de/news/So-kaputt-ist-die-E-Mail-und-sie-wird-trotzdem-nicht-sterben-c-t-3003-9532199.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xs
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8595-20231123-e-mail-programm-kommt-in-die-jahre.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8595-20231123-e-mail-programm-kommt-in-die-jahre.html
Tags: #E-Mail #SMTP #POP3 #IMAP #Messenger #SimpleMailTransportProtocol #MIME #ASCII #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #GPG #Anonymisierung #Persönlichkeitsrecht #Privatsphäre #Verhaltensänderung #Smartphone #Handy #Android

aktionfsa@diasp.eu

21.11.2023 Gezielte Suche aus hunderttausenden verschiedener Kategorien

Advertising Intelligence

Hä? Der Geheimdienst macht Werbung, der Geheimdienst nutzt Werbung, der Geheimdienst bedient sich der Firmen um die Werbeindustrie herum. Gemeint ist wohl eher das letztere, aber in der U-Bahn sehen wir sogar auch den ersten Fall - der Verfassungsschutz möchte die Fahrgäste zu kleinen Agenten machen. Ist das STASI3.0?

Netzpolitik.org berichtet aber mehr über die anderen Fälle, wo Bürgerrechtsorganisationen davor warnen, dass die Möglichkeiten der Werbeindustrie von Geheimdiensten genutzt werden können, um sich zu jeder Zeit genaue Profile über Tätigkeiten, Ansichten und Wünsche bestimmter Gruppen zu verschaffen.

Die Gefahren sind demnach

  • Targeted Advertising: gezielte Suche aus hunderttausenden verschiedenen Kategorien, z.B.
  • Menschen, die bei Rüstungskonzernen arbeiten,
  • politsch interessierte Menschen,
  • homosexuelle Priester,
  • Advertising Intelligence: zu jedem Zeitpunkt können bei Real-Time-Bidding Auktionen (RTB) Daten der Nutzer:innen von hunderten Firmen abgefragt werden, wie etwa
  • Identifier, Aufenthaltsorte und Uhrzeiten,
  • die sexuelle Orientierung, Gesundheitsinformation, der ökonomische Status und sogar mögliches Suchtverhalten

Während Bürgerrechtsorganisationen sich Sorgen um alle Menschen im Lande machen, "sorgen" sich staatliche Stellen herunter bis zur Federal Trade Commission vor allem um Politiker, Juristen und Militärpersonal. Dass die Sorgen der Bürgerrechtsorganisationen berechtigt sind, ist logisch, denn nach US Gesetzen sind die Sicherheitsbehörden ermächtigt auf die Daten zuzugreifen, sobald sie im Besitz eines in den USA beheimateten Unternehmen sind. Wie "interessiert" auch in der EU die Sicherheitsbehörden sind, hatten wir kürzlich erst von Europol erfahren (Europol will mehr Chatkontrolle https://www.aktion-freiheitstattangst.org/de/articles/8586-20231114-europol-will-mehr-chatkontrolle.html ).

Mehr dazu bei https://netzpolitik.org/2023/buergerrechtsorganisation-warnt-online-werbung-als-ernstes-sicherheitsrisiko/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xq
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8593-20231121-gezielte-suche-aus-hunderttausenden-verschiedener-kategorien.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8593-20231121-gezielte-suche-aus-hunderttausenden-verschiedener-kategorien.html
Tags: #Polizei #Geheimdienste #Lauschangriff #Überwachung #AdvertisingIntelligence #TargetedAdvertising #Werbeindustrie #Profilsuche #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Gender #Diskriminierung #Ungleichbehandlung #Unschuldsvermutung #Verhaltensänderung

aktionfsa@diasp.eu

20.11.2023 GDNG "verzichtet" auf Einwiligung

Mit Gesundheitsdaten-Nutzungsgesetz in die Zukunft?

Immer wieder haben wir über die privatsphäre-gefährdenden Ideen der Gesundheitsminister berichtet. Die an jeglicher Realität vorbei gehenden Pläne haben sich interessanterweise durch einen Wechsel von Herrn Spahn (CDU) zu Minister Lauterbach (SPD) kaum verändert. Die Handschrift der Pharmaindustrie ist weiterhin deutlich sichtbar.

Der Verein Patientenrechte und Datenschutz e. V. schreibt uns zu den aktuellen Plänen:

Vieles deutet darauf hin, dass wir – was den Schutz unserer Gesundheits- und Behandlungs- sowie unserer genetischen Daten angeht - in Kürze in einer neuen Realität ankommen werden. Mit den Plänen der Bundesregierung für das Gesundheitsdaten-Nutzungsgesetz (GDNG) und mit den Plänen der EU-Kommission für den European Health Data Space (EHDS – auf Deutsch: Europäischer Gesundheitsdatenraum) sollen diese Daten ohne freiwillige und informierte Einwilligung der einzelnen Menschen nicht nur behandelnden Ärztinnen, sondern auch Krankenkassen und öffentlichen und privaten Forschungszwecken zur Verfügung stehen.

Informationen zum geplanten Gesundheitsdaten-Nutzungsgesetz (GDNG) gibt es u. a. hier:

Informationen zum geplanten European Health Data Space (EHDS – auf Deutsch: Europäischer Gesundheitsdatenraum) gibt es u. a. in zwei Beiträgen auf der Homepage des Vereins:

58.188 Menschen unterzeichneten seit Mai 23 eine Petition an den Bundestag gegen die Zwangseinführung der elektronischen Patientenakte (ePA). Daraufhin wurde die Ärztin Simone Connearn im Petitionsausschuss des Bundestags mit dem Inhalt und dem Ziel der Petition am 09.10.2023 angehört. Dies ist hier dokumentiert https://www.bundestag.de/mediathek/ausschusssitzungen?videoid=7601600#url=L21lZGlhdGhla292ZXJsYXk/dmlkZW9pZD03NjAxNjAw&mod=mediathek

Verein Patientenrechte und Datenschutz eV

Mehr dazu bei https://patientenrechte-datenschutz.de/mit-dem-geplanten-gesundheitsdatennutzungsgesetz-gdng-sollen-krankenkassen-ermaechtigt-werden-abrechnungs-und-behandlungsdaten-ihrer-mitglieder-auszuwerten
und alle unsere Artikel dazu https://www.aktion-freiheitstattangst.org/cgi-bin/searchartl.pl?suche=eGK+ePA&sel=meta
Kategorie[17]: Presse Short-Link dieser Seite: a-fsa.de/d/3xp
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8592-20231120-gdng-verzichtet-auf-einwiligung.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8592-20231120-gdng-verzichtet-auf-einwiligung.html
Tags: #GDNG #eGK #ePA #elektronischePatientenakte #PDSG #Patientendatenschutzgesetz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Privatsphäre #sensibel #Einwilligung #RFIDChips #elektronischeGesundheitskarte #eHealth

aktionfsa@diasp.eu

18.11.2023 KI-Act droht zu scheitern

Frankreich und Deutschland gegen strikte Regulierung

Eigentlich war man sich einig, dass die Regulierung künstlicher Intelligenz (KI) durch eine EU Verordnung (KI-Act) noch vor den Europawahlen im nächsten Jahr verabschiedet werden sollte. Nun stecken die Vorgespräche, die sogeannten Trilog Verhandlungen zwischen Rat, Parlament und Komission in einer Sackgasse.

Heise.de schreibt: Hauptstreitpunkt ist die Regulierung von "General Purpose AI Models" – also großen Sprachmodellen wie Llama 2 oder GPT-4, weil sich Frankreich und Deutschland dagegen ausprechen. Das ursprüngliche Ziel war

  • hochgefährliche Anwendungen, wie zum Beispiel Echtzeit-Biometrie, werden komplett verboten,
  • Hochrisiko-Anwendungen, wo die KI in medizinische Bereiche, in die Justiz oder Strafverfolgung eingreifen, werden streng reguliert,
  • andere nur ab und an kontrolliert.

Nun sprechen sich Frankreich und Deutschland dagegen aus die besonders "mächtigen" Sprachmodelle mit Audits durch eine noch zu schaffende EU-Behörde zu überwachen und zu regulieren. Die Befürchtung ist, dass solche Regulierungen innovative Start-ups abwürgen könnten. Dabei ging es bisher eher um die "Großen" - und bei den Großen ist eher zu befürchten, dass die "zu schaffende neue Behörde" von der Macht dieser Großen einfach eingewickelt und die Kontrolle zu einem bloßen Schaulaufen wird.

Wenn es nun bis zur Europawahl nichts wird, sollte man die Zeit nutzen, um die Risiken genauer zu spezifizieren. Dazu gehören neben Datenschutz, rechtlichen, Haftungs- und Copyright Fragen auch die unerträglichen Arbeitsbedingungen der Menschen die die KI trainieren, der immense Stromverbrauch der KI. Fragen der Diskriminierung von Frauen und Menschen, die nicht weiß sind, sind bekannt aber noch längst ist nicht klar, wie sie gelöst werden können.

Mehr dazu bei https://www.heise.de/hintergrund/AI-Act-KI-Gesetz-der-EU-droht-zu-kippen-9531914.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xn
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8590-20231118-ki-act-droht-zu-scheitern.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8590-20231118-ki-act-droht-zu-scheitern.html
Tags: #KIAct #EURat #Trilog #Algorithmen #künstlicheIntelligenz #KI #AI #Transparenz #Informationsfreiheit #Anonymisierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #FalsePositives #Seiteneffekte #Nebenwirkungen #Diskiminierung #Überwachung #DataMining #Rasterfahndung

aktionfsa@diasp.eu

15.11.2023 Kfz sammeln unsere Daten

Daten aus Kfz bringen den Herstellern Millionen

Unter der Überschrift "Datenschutz nicht inbegriffen" hat Mozillas Shopping-Leitfaden untersucht, wie es um den Datenschutz bei Fahrzeugen von 25 großen Herstellern bestellt ist. Das Ergebnis ist vernichtend, denn alle Hersteller sammeln fleißig persönliche Daten.

Heise.de stellt fest: Über Sensoren, Kameras, Mikrofone, Telematiksysteme und gekoppelte Mobiltelefone soll nicht nur die Fahrtroute erfasst werden, sondern auch Daten zu Ethnie, Einwanderungsstatus, Gewicht, Genetik sowie der sexuellen Aktivität. Keiner der Hersteller hält es dabei für nötig, die im Fahrzeug gespeicherten persönlichen Daten zu verschlüsseln.

An der Spitze der negativen Beispiele steht nach dieser Auswertung Nissan. Das Unternehmen speichert "Präferenzen, Eigenschaften, psychologische Trends, Neigungen, Verhaltensweisen, Einstellungen, Intelligenz, Fähigkeiten und Eignungen" von Verbrauchern. Und in seiner Datenschutzerklärung stellt Nissan ausdrücklich fest, diese Daten weiterzugeben beziehungsweise zu verkaufen.

VW sammelt neben Alter und Geschlecht auch das Fahrverhalten der Fahrzeugnutzer und Toyota verwirrt die Käufer mit insgesamt 12 Datenschutzerklärungen. Obwohl einige Hersteller die Consumer Privacy-Protection-Principles , eine freiwillige Selbstverpflichtung, unterzeichnet haben, hält sich keiner der Hersteller daran. Und das ist auch nicht verwunderlich, wenn Analysten zufolge sich durch die in Fahrzeugen erhobenen Daten bis 2030 rund 750 Milliarden US-Dollar auf Kosten der Verbraucher verdienen lassen.

Mehr dazu bei https://www.heise.de/news/Mozilla-Autos-sammeln-Daten-zum-Einwanderungsstatus-und-zur-sexuellen-Aktivitaet-9295153.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xj
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8587-20231115-kfz-sammeln-unsere-daten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8587-20231115-kfz-sammeln-unsere-daten.html
Tags: #Kfz #Hersteller #Digitalisierung #Lauschangriff #Überwachung #Mozilla #Selbstverpflichtung #Sexualleben #Ethnie # #Anonymisierung #Verschlüsselung #Verhaltensänderung #Verbraucherdatenschutz #Datenschutz #Datensicherheit

aktionfsa@diasp.eu

14.11.2023 Europol will mehr Chatkontrolle

Wenn schon, denn schon ...

Das Wort Salamitaktik kennen wir ja schon von vielen Gesetzgebungsvorgängen. Wenn wir schon die Möglichkeit für dieses oder jenes haben, dann können wir doch auch ...

Nun erleben wir das auch bei der noch nicht endgültig beschlossenen EU Chatkontrolle: Die Chatkontrolle soll Internetdienste verpflichten, die Inhalte privater digitaler Kommunikation aller Menschen im Auftrag von Regierungen zu durchleuchten, um Kindesmissbrauch besser aufklären zu können. Merke: Verhindert wird dadurch kein Missbrauch, denn um im Internet übertragen zu werden, hat er bereits stattgefunden.

Wie bei den vor Jahren geplanten Netzsperren wird nun der Katalog der mit der EU Chatkontrolle zu verfolgenden Starftaten ausgeweitet. So fordert Europol eine Ausweitung auf "andere Kriminalitätsbereiche", wie Pornografie, Migration und Drogen und eine Kommissions-Beamte "signalisierte Verständnis für den geäußerten zusätzlichen Wunsch". Auch diese Liste wird sicher nicht abschließend sein.

Damit wird das Überwachungs-Monster Chatkontrolle bereits vor der Entscheidung darüber noch gefährlicher. Die rechtlichen Grenzen sind ja selbst für den Tatbestand Kindesmissbrauch noch nicht klar definiert, da die verschiedenen Rechtssysteme in der EU strafbare Kinderpornografie unterschiedlich definieren.

Mehr dazu bei https://netzpolitik.org/2023/ueberwachung-politiker-fordern-ausweitung-der-chatkontrolle-auf-andere-inhalte/
und alle unsere Artikel zur Chatktrolle https://aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=Chatkrontrolle&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xi
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8586-20231114-europol-will-mehr-chatkontrolle.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8586-20231114-europol-will-mehr-chatkontrolle.html
Tags: #EU #Chatkontrolle #Lauschangriff #Überwachung #Missbrauch #Droge #Kriminalität #Europol #Videoüberwachung #Rasterfahndung #Datenbanken #Websperren #Anonymisierung #Identität #Verschlüsselung #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung #Verbraucherdatenschutz #Datenschutz #Datensicherheit

aktionfsa@diasp.eu

12.11.2023 Das EU-Vertrauen

Wollen wir Pflicht-Vertrauen in staatliche Stellen?

Vertrauen ist gut, Kontrolle ist besser. (Lenin)

Auf jeden Fall ist Vertrauen unheimlich wichtig. Gerade in Zeiten von Fake News und KI, die uns fast echt jeden Unsinn als Realität vorspielen kann. Ob im Internet eine Nachricht wirklich vom Absender kommt oder ob eine Webseite von der Domain xyz wirklich von dieser kommt oder ob sich ein Angreifer dazwischen geklemmt hat und mir seine "Wahrheit" unterjubelt, ist von entscheidender Bedeutung.

Deswegen hat man etwa vor 20 Jahren damit angefangen den Datenverkehr im Inernet möglichst verschlüsselt abzuwickeln und Sender und Empfänger mit Zertifikaten auszustatten, so dass sie ihre Identität beweisen können. Dazu wird mit TLS (Transport Layer Security) ein kryptografischer Schlüssel verwendet.

Unsere Browser kennen (die) vertrauenvollen Zertifizierungsstellen und markieren uns bei der Anzeige einer Webseite diese mit einem geschlossenen Schloss als sicher und vertraut. Welchen Zertifizierungsstellen vertraut wird und welchen nicht, entscheiden die Browserhersteller bisher selbst.

Die EU möchte nun den Regierungen der EU-Länder die Kontrolle über die "gültigen" kryptografischen Schlüssel für TLS geben. Dagegen haben inzwischen 400 weitere Unterzeichner aus der Wissenschaft einen offenen Brief von 38 IT-Sicherheitsforschern aus dem Jahr 2022 unterzeichnet. Ihre Kritik wendet sich nicht nur gegen eine weitere staatliche Regulierung des Internets, sie stellen auch wieder einmal fest, dass solche Maßnahmen an der technischen Realisierbarkeit vorbeigehen.

"Der Gesetzentwurf konzentriert sich auf die Browser-Nutzung von TLS, aber TLS wird weitaus umfassender als nur im Internet eingesetzt", kritisierte laut Heise.de im vorigen Jahr Vinton G. Cerf, einer der "Väter des Internet" und derzeit Google-Mitarbeiter. Aber auch die Browser stellt das Vorhaben vor Schwierigkeiten. Soll künftig der Internetverkehr von Stellen aus der EU als vertrauenswürdiger angesehen werden, als Daten von außerhalb? Das würde dann neben dem geöffneten Schloss (unsicher) noch "gute" und "weniger gute" geschlossene Schlösser verlangen, auch eine räumliche Beschränkung der EU-TLS-Variante auf das Unionsgebiet ist technisch nicht umsetzbar. Dürfen dann EU Zertifizierungsstellen auch Schlüssel für nicht in der EU beheimatete Firmen oder Töchter ausstellen und sind diese dann mehr wert?

Staatliches Schloss - gut oder böse?

Ein negatives Beispiel: So hat z.B. die Regierung Kasachstans ihren Bürgern im Jahr 2020 ein eigenes Wurzelzertifikat aufgedrängt, um deren verschlüsselten Datenverkehr mitlesen zu können. Ähnliches können diese oder jene Staaten wieder anderen unterstellen, was am Ende zu nationalen Netzen führen und das gegenseitige Vertrauen völlig zerstören würde.

Die Autoren des offenen Briefs kritisieren auch die geplante European Digital Identity Wallet (EU-Id-Brieftasche), die wichtige Nachweise für die grenzüberschreitende Nutzung auf dem Smartphone bündeln soll. Denn dort wären Zugriffe auf persönliche Aktivitäten der Nutzer möglich, weil die EU Gesetzgebung vorsieht, dass beispielsweise Regierungen Kenntnis über die Verwendung von Anmeldeinformationen aus der ID-Wallet bei Anwendung in diversen Lebensbereichen erlangen können – von Gesundheit, Finanzen, Online-Aktivitäten bis hin zu öffentlichen Verkehrsmitteln. Heise.de zitiert die Unterzeichner, die "die Privatsphäre der EU-Bürger erheblich gefährdet" sehen.

Fazit: die staatliche Überwachung wird weiter wachsen, ansonsten wird durch das Vorhaben nichts besser, aber vergessen wir nicht, dass im Jetzt-Zustand diese persönlichen Informationen bei irgendwelchen angeblich vertrauensvollen privaten Instanzen landen, wo sie auch missbraucht werden können ...

Mehr dazu bei https://www.heise.de/news/Hunderte-Wissenschaftler-warnen-vor-staatlichen-Root-Zertifikaten-9355165.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xg
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8584-20231112-das-eu-vertrauen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8584-20231112-das-eu-vertrauen.html
Tags: #EU-Vertrauen #Verbraucherdatenschutz #Datenschutz #Datensicherheit #TLS #TransportLayerSecurity #Browser #Zertifizierungsstellen #SecurityChain #FakeNews #Zensur #Transparenz #Informationsfreiheit #Internetsperren #Netzneutralität #OpenSource #Privatsphäre