Da sind sie nun, die Bedenken der Bundestagsabgeordneten über die Vorratsdatenspeicherung! Endlich! Die Volksvertreter erkennen schließlich doch noch welche Gefahren aus der anlasslosen Überwachung erwachsen! Was für ein Moment der Erkenntnis! Welch ein Augenöffner! Welch ein..... BULLSHIT!
Sorry...
Hier wird plötzlich etwas vermischt, was nichts miteinander zu tun hat.
Von vorn: Der Fall Edathy hat "aufgedeckt", dass die Rechner im Bundestag, in den Abgeordnetenbüros, über Proxies laufen. Auf den Proxies werden die Seitenaufrufe gelogged. Man kann also nachvollziehen wer wann welche Internetseite abgerufen hat. Das ist, informationstechnisch und informationssicherheitstechnisch usus und sogar geboten. In der Wirtschaft, wird dies tagtäglich gemacht. Dies dient nicht zur Überwachung von Mitarbeitern, sondern primär der Sicherstellung des Betriebs der technischen Infrastruktur. Wo sollen die Admins nach Fehlern suchen, wenn nicht in den technischen Protokollen? Wie soll man dem Eindringen von Schadsoftware (Viren und Co.) entgegen wirken wenn nicht auf Proxy-Ebene? Und wie soll man, wenn es doch mal ein übler Code hinter die Netzgrenzen geschafft hat, die Ursachen und Quellen recherchieren?
Und natürlich kann man mit solchen Protokollen im Unternehmen auch den Missbrauch verfolgen (surfen Mitarbeiter mehr als sie arbeiten?). Oder aber im Falle einer Straftat die Protokolle den Strafverfolgungsbehörden zur Verfügung stellen.
Sicher kann man nicht ausschließen dass auch in der Wirtschaft "mal" Missbrauch mit diesen Protokollen betrieben wird. Mitarbeiter unverhältnismäßig überwacht werden und ähnliches. Aber darum geht es (in diesem Artikel) heute nicht.
Plötzlich, der Spiegel tut sich hier hervor - aber keine Ahnung wer die Begrifflichkeit eingeführt hat - dass die Systemseitige, technische Protokollierung im Budenstag die gleiche Bezeichnung erhält wie die Geiselhaft einer ganzen Bevölkerung: Vorratsdatenspeicherung.
Es ist also in Ordnung die kompletten Metadaten von 82 Mio. Bürgern über Monate zu speichern. Von Handynutzung (wer hat mit wem telefoniert) über Handystandort (von wo aus wurde telefoniert) bis hin zu Mailkommunikation, Internetnutzung, Chats usw.
Aber bei nominell 598 MdB (derzeit 631) ist dies nicht in Ordnung?
Begründet wird dies mit der der Unabhängigkeit des Mandats. So ein Volksvertreter genießt schließlich Immunität. Bürger müssen sich anonym an ihren Abgeordneten wenden können. MdB sind Geheimnisträger. Und und und...
Komisch. Das sind alles Fragen die bei der VDS der Bevölkerung zweitrangig waren. Was ist mit der Kommunikation mit meinem Arzt? Mit meinem Anwalt? Was ist mit meiner Mail wenn ich an meinen Bundestagsabgeordneten schreibe?
Egal. Darum geht es nicht. Wichtig ist, dass man erkennt, dass der Begriff "Vorratsdatenspeicherung" nichts mit den Vorgängen im Bundestag zu tun hat. Die Protokollierung einzelner IT-Systeme an einem dedizierten Standort ist nicht gleichzusetzen mit der Protokollierung einer kompletten Volkswirtschaftlichen (Kommunikations-)Infrastruktur.
Bitte erkennt und beherzigt das.
Montag, 19. Mai 2014
Mittwoch, 16. April 2014
Themenabend Cyberwar bei Arte
Gestern gab es zwei sehr gut gemachte und informative Sendungen auf Arte.
Arte Themenabend Cyberwar
Die Beiträge werden am Donnerstag den 24.04. wiederhohlt, wer's also verpasst haben sollte...
Begleitend hat Heise eine Interaktive Reihe gestartet, ebenfalls sehr interessant!
Heise Netwars
Arte Themenabend Cyberwar
Die Beiträge werden am Donnerstag den 24.04. wiederhohlt, wer's also verpasst haben sollte...
Begleitend hat Heise eine Interaktive Reihe gestartet, ebenfalls sehr interessant!
Heise Netwars
Donnerstag, 10. April 2014
modellierte Wirklichkeit II
Bei meinem Post von gestern hatte ich das Gefühl noch ein paar Zeilen zur modellierten Wirklichkeit loswerden zu müssen. Das möchte ich hier nachholen.
Wie bereits erwähnt geht es beider modellierten Wirklichkeit darum, dass man auf erfasste Datenbestände eigene Kriterien anlegt um ihnen Aussagekraft zu verleihen. Das man sich zu den objektiven Informationen subjektive Modelle bastelt die zutreffend scheinen.
Ein profanes Beispiel:
Eine Telefonbuch-Datenbank bietet neben der Suche nach Name/Adresse auch die Möglichkeit der Rückwärtssuche. Oftmals kann man diese Datenbanken auch völlig beliebig abfragen, etwa "alle Rufnummern zu einer Adresse mit Hausnummer" oder "alle Rufnummern einer Straße".
Ich könnte diese Datenbank also abfragen und mir auswerfen lassen "alle Rufnummern die zwei Namen zugeordnet haben".
Diese Ausgabe wiederum filtere ich nach "zwei männliche Vornamen".
Ich finde also alle Rufnummern bei denen zwei männliche Vornamen hinterlegt sind. Und jetzt schlussfolgere ich, dass ich alle homosexuellen Lebensgemeinschaften ausgeworfen habe. Voila.
Diese Ausgabe wiederum filtere ich nach "zwei männliche Vornamen".
Ich finde also alle Rufnummern bei denen zwei männliche Vornamen hinterlegt sind. Und jetzt schlussfolgere ich, dass ich alle homosexuellen Lebensgemeinschaften ausgeworfen habe. Voila.
Irgendwie wird diese Vermutung, manchmal, sicher zutreffen. Aber eben nur manchmal. Alle anderen liegen nun in meiner Datenbank und haben den Stempel "homosexuell"
Das Gedankenspiel "wenn ein homosexuelles Paar sich ins Telefonbuch eintragen lässt, dann habe ich zwei gleichgeschlechtliche Vornamen zu einer Rufnummer" mag ein eine Richtung funktionieren, der Umkehrschluss aber ist falsch bzw. nur eine Teilmenge!
Ein ziemlich großes Schwein das gerade durch die "Data-Mining-Industrie" getrieben wird, ist Big Data. Man erhofft sich, aus der Verknüpfung unzähliger Datenbestände, abermillionen an Datensätzen, Informationen über die Betroffenen ermitteln zu können. Informationen die die einzelnen Daten so nicht hergeben. Informationen über Verhalten, Affinitäten, Wünsche, Umfeld,...
Informationen über die sich die Betroffenen womöglich selbst nicht bewusst sind.
Daraus erwachsen zwei Gefahren.
Zum einen können diese Ganzen Statistiker, Datenanalysten, Psychologen, Profiler und Marketing-Experten immer nur Informationen ermitteln von denen sie denken sie wären in den Daten enthalten. Sie legen also ihre Vorstellung zugrunde. Sie modellieren eine Wirklichkeit über den Betroffenen.
Damit wären wir wieder bei Zuordnung von Eigenschaften die einfach nicht wahr sind.
Wie gut das Funktioniert kann man schön bei Amazon beobachten. Die Funktion "Leute die dies gekauft haben interessieren auch für" ist zugegebener weise praktisch. Ich habe auch schon frohlockt "cool, zu dem Thema gibt's auch das Buch? Kannte ich noch nicht!"
Aber meist durchforste ich den Store, entscheide mich für oder gegen den Kauf eines Produkts und bekomme trotzdem noch Wochenlang zu sehen was thematisch für mich eigentlich schon abgeschlossen ist.
Entweder ich hab bereits das Produkt erstanden --> weitere Werbung sinnlos.
Oder ich wollte es dann doch nicht --> weitere Werbung sinnlos.
Die andere Gefahr die erwächst ist, dass wir weiter manipulierbar werden. In Grenzen werden die Modelle die uns mit Big Data zugeordnet werden auch stimmen oder funktionieren. Und wenn ich zukünftig mit Werbung versorgt werde die meine Wünsche trifft, mein Begehren weckt, dann gebe ich Geld aus obwohl ich es nicht vor hatte.
Als der Datenschutz entstand, hatte man im Kopf den Menschen davor zu schützen im Umgang mit seinen personenbezogenen Daten irgendwelche Nachteile zu erfahren. Mein Kontostand geht nur meine Bank und mich etwas an. In der heutigen Zeit ist aber der Kontext von Daten viel entscheidender. Dem wird das aktuelle Datenschutzrecht nicht gerecht.
Mein Name und meine Telefonnummer im Telefonbuch sind eine relativ unkritische Geschichte. Mein Name und meine Telefonnummer in der Patientenkartei eines Psychologen sind eine kritische Information.
Die Daten selbst sind weiterhin die gleichen. Der Kontext in dem sie erscheinen macht sie völlig unterschiedlich.
Die Daten selbst sind weiterhin die gleichen. Der Kontext in dem sie erscheinen macht sie völlig unterschiedlich.
Mit Big Data werden zukünftig Kontexte generiert die so nirgends allein vorkommen. (Genau genommen werden sie so heute schon konstruiert)
Insofern: dem Staat schauen wir bei der VDS auf die Finger, haben öffentliche Diskussionen, engagierte Arbeitsgruppen.
Die Datensammelei im privaten Sektor ist leider weniger prominent vertreten, hat weniger Lobby.
Die Datensammelei im privaten Sektor ist leider weniger prominent vertreten, hat weniger Lobby.
Mittwoch, 9. April 2014
Vorratsdatenspeicherung und modellierte Wirklichkeit
Da war er, der Paukenschlag!
Der europäische Gerichtshof hat gestern, sehr zu meiner Freude, die verdachtsunabhängige Speicherung von Metadaten für unzulässig erklärt. Auch wenn der EuGH, wie schon zuvor der BGH, eine Vorratsdatenspeicherung für grundsätzlich machbar hält, ist das Urteil und die Begründung Wasser auf die Mühlen der Datenschutzaktivisten und Bürgerrechtler.
Vielen Dank an dieser Stelle für all diejenigen die sich diesbezüglich engagiert haben und an diejenigen die mit Mikrospenden unterstützt haben.
Der EuGH hat erkannt, dass in einer Gesellschaft, in der keiner von uns weiß, was wann über ihn gespeichert wird, sich die Menschen in ihrem Verhalten anpassen werden. Dieses diffuse Gefühl von "überwacht werden" passt einfach nicht in eine freiheitliche Gesellschaft.
Befürworter der VDS sehen in ihr ein unerlässliches Mittel um effiziente Strafverfolgung zu ermöglichen, die Bösen sind immer einen Schritt voraus.
Ja, ich teile die Ansicht dass sich Strafverfolgungsbehörden heute in einem Spannungsfeld befinden. Einerseits sollen sie uns unbescholtene Bürger gefälligst in Ruhe lassen. Andererseits müssen sie sich den Fragen stellen, warum sie nicht agieren oder vorher es hätten besser wissen müssen wenn es doch mal zum Äußersten kommen sollte. Dafür jedoch eine komplette Gesellschaft in Sippenhaft zu nehmen kann nicht die Lösung sein. Vor allem weil bisher jeglicher Beweis schuldig geblieben ist, dass die VDS die (angeblichen) Probleme lindert.
Was die Befürworter der VDS jedoch gern übersehen ist, dass die Metadaten viel mehr über die Menschen verraten als die Informationen an sich eigentlich speichern. Es geht nicht nur darum "war, hat wann, von wo, mit wem, über welchen Kanal" kommuniziert. Das haben die Richter des EuGH sehr gut erkannt und richtigerweise benannt.
Kürzlich gab es hierzu einen Versuch an der Stanford University.
Die Forscher haben die Metadaten von freiwillig teilnehmenden Studenten über einen längeren Zeitraum gespeichert und später ausgewertet. Die Ergebnisse aus den Auswertungen überraschte die selbst die Forscher. Aus den Verbindungsdaten konnte "herausgelesen" werden, dass einige wohl Gesundheitsprobleme hätten. So hat ein Teilnehmer mehrfach mit einer Herzklinik und diese mit ihm telefoniert. Dann wiederum mit einem medizinischen Labor, einer Apotheke und mehrfach die Hotline eines Herstellers für kardiologische Überwachungsgeräte bemüht. "Klar" dass derjenige Herzkrank war. Vielleicht war er aufgeregt über "komische" Werte des Geräts, fragte beim Facharzt an und am Ende beim Hersteller weil das Gerät evtl. eine Fehlfunktion hatte?
Die Forscher haben die Metadaten von freiwillig teilnehmenden Studenten über einen längeren Zeitraum gespeichert und später ausgewertet. Die Ergebnisse aus den Auswertungen überraschte die selbst die Forscher. Aus den Verbindungsdaten konnte "herausgelesen" werden, dass einige wohl Gesundheitsprobleme hätten. So hat ein Teilnehmer mehrfach mit einer Herzklinik und diese mit ihm telefoniert. Dann wiederum mit einem medizinischen Labor, einer Apotheke und mehrfach die Hotline eines Herstellers für kardiologische Überwachungsgeräte bemüht. "Klar" dass derjenige Herzkrank war. Vielleicht war er aufgeregt über "komische" Werte des Geräts, fragte beim Facharzt an und am Ende beim Hersteller weil das Gerät evtl. eine Fehlfunktion hatte?
Aber merkt ihr was? Viel Konjunktiv in den letzten Sätzen!
Hier fängt nämlich das Problem an. Die Metadaten verraten in Summe ohne Zweifel mehr als die Einzelinformationen aus denen sie bestehen. Ab einem gewissen Punkt fängt man aber an Realitäten in diese Informationen zu projezieren. Man modelliert sich eine Wirklichkeit.
Ob besagter Student wirklich herzkrank war, ich weiß es nicht. Vielleicht hat er für sein Medizinstudium recherchiert? Vielleicht etwas für seine herzkranke Mutter organisiert? Ich weiß es nicht!
Ob besagter Student wirklich herzkrank war, ich weiß es nicht. Vielleicht hat er für sein Medizinstudium recherchiert? Vielleicht etwas für seine herzkranke Mutter organisiert? Ich weiß es nicht!
Aber auf diesem Weg lässt sich für jeden von uns, auf Basis seiner Metadaten, etwas konstruieren dass ihm zum Nachteil gereichen kann. Und es muss noch nicht einmal mit böser Absicht etwas konstruiert werden. Wenn mein Profil, mein Verhalten zufällig eine gewisse Übereinstimmung mit den "Gefährderprofilen" hat, wird der gebaute Algorithmus mir einen Stempel verpassen. Da bucht man ein Flugticket nach Asien für den nächsten Herbsturlaub, bummelt im Sommer vorher noch durch die City am Jagdgeschäft vorbei und besucht am Wochenende das Straßenfest im Szeneviertel und setzt sich auf ein Bier auf die Bank vorm Büro der "schwarzen Katze"...
DAS sind die Gefahren einer überwachten Gesellschaft. Keiner kann sich mehr unbedarft bewegen und verhalten. Immer und Überall muss ich darauf achten ob mir das nicht zum Nachteil gereichen kann was ich gerade mache.
In diesem Sinne: Danke EuGH.
Dienstag, 8. April 2014
A new Blog is born...
Und wieder ein Blog. Und das obwohl doch der "Peak-Blog" schon postuliert wurde?! Nunja, in absteigenden Zeiten ist zumindest die Abfahrtsgeschwindigkeit größer...
Aber im ernst. Die Themen Datenschutz und Security sind in etwa so sexy wie ein verkalkter Badewannenstöpsel. Ich selbst bin seit mehr als 12 Jahren in den Themen verhaftet. In dieser Zeit habe ich viel gelernt und mich noch mehr gewundert.
Gewundert darüber, dass man so ein essentiell wichtiges Thema nicht kommuniziert bekommt.
Gewundert darüber, dass man mehr mit Meinungen als mit Fakten konfrontiert wird.
Und insbesondere gewundert darüber, was alles thematisiert wird wo es doch offensichtlichere Baustellen gibt.
Aus der Verwunderung, insbesondere über den letzten Punkt, ist ein Stück weit "genervt sein" gewachsen. Aus den Elfenbeintürmen des Datenschutzes schwemmen Themen auf den Markt, die akademischer nicht sein könnten und die mit geradezu religiösem Eifer verfochten werden.
Da gibt es zum Beispiel das Spannungsfeld, dass die staatliche Überwachung ausufert. Von NSA-Affäre bis zu Indect. Während auf der anderen Seite in Arbeitskreisen von betrieblichen Datenschützern diskutiert wird, ob man eine Einwilligung benötigt wenn die Namen der Mitarbeiter in der TK-Anlage gepeichert werden sollen.
In der Informationssicherheit rühmen sich kurzsichtige Admins damit, technisch zu verhindern dass man einen USB-Stick anschließen kann. Das man dabei den Anwender am Arbeiten hindert, ihn frustriert weil er mehr Zeit damit verbringt einen Weg zu finden wie er seine Aufgabe praktisch erfüllen kann und weniger damit was er tun will, sieht er nicht. Und dass er eigentlich beim Stopfen eines Sicherheitsloch ein großeres aufreist auch nicht. Denn was tut der Anwender wenn er die Präsentation vom PC nicht auf den Latop bekommt weil der USB-Stick nicht funktioniert? Er schickt sich das Ganze an seinen GMail-Account und ruft es am anderen Rechner wieder ab.
User: Ziel erreicht, happy.
Admin: Ziel verfehlt, happy, weil kriegt nix mit.
Unternehmen: Risiken gestiegen
Dem möchte ich ich mich hier stellen. Möchte eine, meiner Meinung nach, ausgewogene Sicht auf Datenschutz, Informationssicherheit, gesellschaftliche Themen und das Leben werfen. Denn wie so oft liegt die Wahrheit meist in der Mitte.
An wen wende ich mich? Vorerst mal an jeden der überhaupt hier vorbei kommt ;-)
Ich denke ich kann ein paar gute Tipps loswerden für IT- und IT-Security-Professionals in Bezug auf praktikable ISM-Ansätze und -Lösungen.
Im Datenschutz möchte ich ein paar Kompromisse lostreten, die die Datenschutzkirche im Dorf lassen und mit allgemeinen Datenschutzdogmen aufräumen.
Gesellschaftlich leben wir in spannenden Zeiten zu denen ich sicher auch mal gern meine Meinung und Ansichten kund tun werde. Egal ob themenrelevantes wie NSA und Co. oder zu Sozialem allgemein.
Und nicht zuletzt, warum machen wir alle was wir so machen? Um zu Leben. Warum nicht auch mal ein Video zu einem Song posten, ein tolles Grillrezept oder menschliches von und über Menschen?
Abonnieren
Posts (Atom)