Computerpolitik - 12

Lustig, dass selbst die Leute von Spiegel-Online, die sonst so differenzierte Artikel über die "Anarchie im Netz" schreiben auf raubkopierte ARD/ZDF-Sendungen bei Sevenload verlinken...

Ich finds ja schön, dass die Highlights des Morgenmagazins auf diese Weise auch den Berufstätigen zugänglich gemacht werden, indem Ausschnitte draus in Youtube oder Sevenload gestellt werden, aber ich glaub dürfen darf man das nicht.

Oder gilt der 2:20-Min-Ausschnitt als Zitat?

Andererseits bin ich z.B.  auf Sevenload angewiesen. Bei der ARD seh ich manche Ausschnitte, wenn ich Glück habe, bei vielen haut das mit meinen falschen Videoplayern  irgendwie nicht hin (ich hab immer die falschen...).
Ausserdem ist das Archiv der "Morgenmagazin-Kinderreporter" dort ein bisschen ungepflegt:  Zwei Beiträge von April 2004 und September 2005.

Seit vier Jahren prüft die Komission für Jugendmedienschutz der Landesmedienanstalten (KJM), wie man den erwachsenen Deutschen ermöglichen kann, auch in Internet ein Stück nackter Haut zu sehen. Die Ergebnisse sind eher mager, fast alle grossen Anbieter von Altersverifikationssystemen (AVS), die es vorher gab, sind dabei von Markt verschwunden.

Das liegt daran, dass AVS-Anbieter es ihren Kunden gern einfach machen, vor allem schnell muss es gehen, wenn der Drang zum Nackten auftaucht. Man beschränkt sich also auf

• Die Eingabe einer Kreditkartennummer (gibts ja nur für Erwachsene...)


• Die Eingabe einer Kreditkartennummer und Abbuchung (die Eltern kontrollieren ja bestimmt die Kontoauszüge...)


• Die Eingabe einer Personalausweisnummer (kein Minderjähriger kann die Prüfsumme seines Perso an ein geändertes Geburtsdatum anpassen, müsste ja das kleine 1x1 kennen...)

Die KJM aber wills gern kompliziert und absolut sicher

• Den Nutzer persönlich sehen


• Ihm eine Nummer zuteilen und irgendein Stück Hardware mitgeben, das er nicht kopieren kann


• Dieses Stück Hardware vor jedem Surfen überprüfen


• Alternativ wird für weniger schlimme Veröffentlichungen  (also das was im Kino FSK 16 heisst) noch Filtersoftware geprüft, die auf Selbsteinschätzung des Anbieters beruht. ICRA zum Beispiel. Der im November 2004 für 18 Monate angesetzte Versuch ist allerdings noch nicht abgeschlossen.

Und so kommen irgendwelche lustigen Verfahren raus, die an den Besitz von Handies gebunden sind, einen Chipkartenleser brauchen, einen USB-Stick mit passenden Treibern (und passendem Betriebssystem) und natürlich eine persönliche Vorstellung erfordern. Bei Handyverträgen im Laden, bei USB und Chipkarten per PostIdent. Der Zugang zu nackten Tatsachen wird damit ein gutes Stück sicherer gemacht als z.B. die Abwicklung von Bankgeschäften oder die elektronische Steuererklärung.

Sowas mag der Surfer natürlich nicht und dreijährige Testphasen findet der gewerbliche Anbieter zu unsicher als Geschäftsgrundlage. Und deshalb wandert der eine oder andere ehemals deutsche Anbieter schlüpfriger Seiten gern in Nachbarländer mit freundlicherer Rechtsprechung, oder vielleicht auch nur eindeutigerer Gesetzeslage, ab und zahlt dort die Umsatzsteuer.

Das alles hat bisher ausser in Fachkreisen keinen gestört. Aber kaum gehts an benutzergenerierte Inhalte einer beliebten Community des Web2.0, gibts eine riesen Aufregung und alle rufen Zensur.

Innenminister Schäuble will für die Online-Durchsuchung das Grundgesetz ändern und sagt zur Berliner Zeitung

Die Verfassung würde der Lebenswirklichkeit angepasst, wie schon so oft. Lösen Sie sich von der Vorstellung, eine Verfassungsänderung sei etwas Verwerfliches. Das Gegenteil ist der Fall. Das ist notwendig. Sonst wäre die Verfassung starr. Früher gab es keine Telefone, also auch keine Telefonüberwachung. Heute nutzen Verbrecher Computer, also müssen wir sie überwachen, da mit ihrer Hilfe schwerste Straftaten verübt werden.

Da hat er natürlich Recht, die Verfassung muss ab und zu angepasst werden. Freunde hätte sicher z.B. eine Abschaffung der Wehrpflicht, die man ja auch nachträglich in die Verfassung eingebaut hat. Auch in Bayern, wo man ja zur Verfassungsänderung nicht nur die nächstgrössere Fraktion, sondern sogar das Volk überzeugen muss, gibt es Beispiele für notwenige Verfassungsänderungen, etwa die Tilgung der Todesstrafe aus dem Text, die Abschaffung der Ständevertretung oder die Einführung der Bürgebegehren.

Er irrt allerdings, wenn er glaubt, dass die Väter und Mütter des Grundgesetzes seine geliebten Überwachungsmassnahmen nur deshalb nicht in die Verfassung geschrieben haben, weil sie die technischen Möglichkeiten nicht kannten. Die Möglichkeiten hätten sie schon gehabt, sie hatten nur Skrupel, dem Staat alle diese Möglichkeiten zu geben.

Vermutlich hatten sie einfach ein anderes Menschenbild als unser Innenminister. Und natürlich ein anderes Bild vom Staat. Was aus einem Staat wird, wenn das Volk plötzlich die falschen Leute wählt, haben sie ja zuvor vorgeführt bekommen, da wollten sie halt dafür sorgen, dass dessen Macht nicht zu gross werden kann. Nicht einmal gegen die Feinde des Gemeinwesen, auch das hatten sie nämlich gelernt, dass Diktaturen ganz schnell die Definition von "Verfassungsfeind" ändern können und dann die gleichen Gesetze, die z.B. gegen Nazis, Terroristen und Hooligans geschaffen werden plötzlich gegen jede beliebige Gruppe anwenden können.

Schäubles Träume von Überwachung hätten auch früher schon Wirklichkeit werden können.

• Die Vorratsdatenspeicherung der Verbindungsdaten hätte man auch bei der Briefpost machen können. Dann hätte halt der Postbote eine Liste mit Absender und Empfänger führen müssen.


• Auch beim Telefon hätte diese Liste geführt werden können. Die Bundesrepublik wurde erst ab 1962 flächendeckend mit Selbstwahlsystemen versorgt. Bis dahin konnte die Vermittlungsdame gut noch mitschreiben. Auch später konnten Vermittlungsanlagen jede gewählte Nummer sofort ausdrucken. Bei privaten Nebenstellenanlagen war das zusammen mit der Gebührenerfassung ganz üblich.


• Der Einsatz von Kryptographie war auch schon lange bekannt. Telegramme waren auch 1917 schon mit Codebuch chiffriert und die Enigma wurde seit 1920 zuerst als Gerät für den zivilen Einsatz, vor allem als Schutz gegen Wirtschaftsspionage angeboten.


• Auch die Online-Durchsuchung gabs schon, zumindest das, was der Abgeordnete Ströbele als "die Vorstellung, dass ein Geheimdienst in den Computer, den ich hier auf meinem Schreibtisch habe über das Telefon reinkriechen kann" formuliert. Computer gabs noch keine, aber das Telefon konnte durchaus als bequeme Wanze zum Eindringen in die Privatsphäre benutzt werden. Das ist der Grund, warum die Geheimnisträger in den alten Agentenfilmen bei Gesprächen immer die Wählscheibe kurz aufziehen und mit einem Bleistift blockieren. Dann war das Telefon kurzgeschlossen und nicht mehr als Wanze zu verwenden.

All diese Möglichkeiten hatte man also schon und trotzdem wollte man dem Staat nicht erlauben, davon Gebrauch zu machen. Es wäre seinerzeit auch schwer zu vermitteln gewesen, dass man ein derartig negatives Bild von den Bürgern hatte. Ausserdem musste man sich ja auch vom Staat der Brüder und Schwestern drüben im Osten irgendwie abheben und die Alliierten hatten auch die Schnauze voll vom starken Staat in Deutschland.

Diese Gründe fallen heute natürlich weg. Die Vermittelbarkeit ist auch leichter. Schliesslich hätte jeder es als merkwürdig angesehen, wenn ein beamteter Postler irgendwo in einem Kämmerchen sitzt und Absender/Empfängerpaare in eine lange Liste einträgt. Die Vorstellung, dass jeder Internetprovider das von einer Maschine erledigen lässt, scheint weniger bizarr zu sein.

Spiegel Online widmet sich dem Problem der Zensur im Internet. Das finde ich gut.

Besonders schön finde ich, dass dieses Mal nicht der Wunsch hiesiger Regierungen aufgegriffen wird, Seiten zu sperren, die hiesigen Gesetzen widersprechen. Es ist nämlich schon schwierig, Argumente zu finden, warum Kinderpornos nicht zensiert werden sollten. Bei Seiten mit Hakenkreuzen kann man bestenfalls auf die regional sehr unterschiedliche Befindlichkeit bei der Abwägung zwischen Meinungsfreiheit und Volksverhetzung hinweisen. Und bei Bombenbauanleitung lediglich auf die Nutzlosigkeit der Zensur angesichts des weit verbreiteten Wissens um die Herstellung von Sprengstoff.

Nein, dieses Mal gehts um die bei uns wirklich allgemein als verwerflich angesehene Zensur der Chinesen, Iraner und anderer Diktaturen, die ihre Leute nicht auf regierungskritische Medien zugreifen lassen.

Schade ist allerdings, dass sie beim Spiegel nicht schreiben, dass das alles zusammenhängt. Dass sämtliche Bemühungen, den Chinesen beim Anonymisieren zu helfen darauf angewiesen sind, dass man sich auch hier anonym im Netz bewegen darf. Sobald man die Möglichkeit hat, im Anonymisierungssystem "Free Tibet" von "Free Porn" zu unterscheiden und das ganze auch noch regional dem Konsumenten zuordnen soll, haut das ganze halt nicht mehr hin. Ausserdem kranken Zensurversuche in internationalen Netzen immer daran, "moralisch Verwerfliches" übereinstimmend zu definieren.

So sind also die Chinesen darauf angewiesen, dass im freieren Westen genügend Anonymisierungsdienste angeboten werden. Irgendjemand muss ja den ganzen regierungskritischen Verkehr routen.

Bei der derzeitigen Situation in Europa ist dieses Angebot allerdings stark gefährdet.

Zum einen wird jetzt schon jeder Anbieter von Anonymisierung vom deutschen Staat kritisch beäugt und sobald irgendwas Verbotenes aus seinem Rechner kommt auch gerne Mal heimgesucht.

Zum anderen wird der Betrieb von Anonymisierern durch die bevorstehende Vorratsdatenspeicherung ziemlich erschwert, vermutlich sogar unmöglich gemacht. Man braucht schon viel Speicherplatz, um jede Zuordnung von Quell-IP und Ziel-IP ein halbes Jahr aufzuheben. Die Glaubwürdigkeit eines Anonymisierungsnetzes wird sicher auch darunter leiden, wenn der User damit dem deutschen Staat vertrauen muss, dass er niemals Daten an die Chinesen übermittelt und ihn damit ans Messer liefert. Nichtmal wenn die uns dafür eine Magnetschwebebahn abkaufen oder einen Terroristen dafür ausliefern oder so...

Und so macht unser Bedürfnis nach Sicherheit und Kontrolle des Internets, das natürlich auch in gewissem Umfang berechtigt ist, die Möglichkeit der Chinesen auf freie Meinungsbildung kaputt. Diesen Umstand kann man sehen wie man will, egal wie man entscheidet, man opfert immer irgendein berechtigtes Anliegen. Aber den Zusammenhang sollte man einfach häufiger und deutlicher erwähnen und vor allem bei der Abwägung von Nutzen und Schaden der Sicherheitsmassnahmen mit einkalkulieren.

In der Darstellung des Tor-Netzwerkes irrt der Spiegel übrigens. Die träge Geschwindigkeit ist nicht die systembedingte Folge der "indirekten Versendung der Datenpakete" sondern liegt einfach daran, dass zu viele Nutzer zu wenigen Serverbetreibern gegenüberstehen. Ob die sich dort alle wegen der Freiheit für Tibet tummeln oder eher auf der Suche nach Freien Downloads sind, sei mal dahingestellt...
Der Satz "Der Eingangsknoten verwaltet alle verwendeten Server, er ist sozusagen das Telefonbuch von Tor" muss ein Verständnisfehler sein, der Eingangsknoten ist nicht das "Telefonbuch", was allerdings nichts an der Tatsache ändert, dass Tor relativ leicht zu blocken ist. Ein Staat, der tausende von Webseiten sperrt, hat auch mit tausend Tor-Nodes sicher kein Problem. Eigentlich komisch, dass er davon keinen Gebrauch macht.

Seit Donnerstag Nacht ist es beschlossen:

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt,
sich oder einem anderen verschafft, verkauft, einem anderen überlässt, ver- breitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Hackertools sind also illegal geworden, das schreiben, verbreiten und runterladen der Tools wird mit bis zu einem Jahr Knast bestraft. In diesem Preis ist der Einsatz übrigens noch nicht vorgesehen, allein das Schreiben reicht. Natürlich hat der Bundestag fleissig Rücksicht auf die IT-Branche genommen und so stellt jeder Beteiligte klar, dass damit niemals der beauftragte Sicherheitscheck eines Unternehmens oder die Selbstüberprüfung der eigenen Rechner gemeint ist. Deshalb steht "unbefugt" im § 202a und ausserdem ist das Ganze ein Antragsdelikt, der Geschädigte muss also die Strafverfolgung wünschen. So richtig glücklich ist allerdings die Branche nicht damit, anscheinend trauen die dem Frieden auch nicht wirklich.

Was anscheinend völlig vergessen oder verdrängt wurde, oder auch absichtlich unterdrückt wurde ist, dass Netzwerksicherheit vor allem von unprofessionellen Hackern vorangetrieben wird. Wenn ich als Privatmann z.B. darauf hinweisen möchte, dass wirklich jeder, der Zugang zum Netzwerk hat mit einfachsen Mitteln Passwörter ausspähen kann, tu ich mir schwer. Ich würde dann gerne anhand eines Beispiels zeigen, wie ungeschützt normale Passwörter im http-Protokoll rumschwirren und zeigen, wie leicht die rauszubekommen sind:

tcpdump -s 1500 -w - port 80 | \
perl -MMIME::Base64 -e \
'while(<stdin>) {
if ($_=~ s/Authorization: Basic //)
{print decode_base64($_)."\n"; }}'
(Das heisst soviel wie "Lausche an der Leitung jedes Paket mit, das auf Port 80 rein- oder rausgeht. Such Dir da alles raus, was mit "Authorization Basic" anfängt, nimm davon den Rest der Zeile und decodiere das nach dem Base64-Verfahren)

Auf so ein anschauliches Beispiel, wie einfach das ist, würde ich da nur ungern verzichten. Alternativ könnte ich natürlich auch Tools wie "dsniff" empfehlen, oder statt "tcpdump" auch "etherreal" mit schon eingebautem base64-decoder, aber gerade die Einfachheit des Selberbastelns macht die Unsicherheit des Protokolls deutlich.

Ich finde soetwas sollte jeder der mit Computern und Netzwerken zu tun hat, ruhig ausprobieren. Auch wenn er nicht im Sicherheitsbereich arbeitet und das ganze nur als Hobby betreibt, sollte er sein eigenes Passwort schonmal auf dem Bildschirm im Klartext gesehen haben. Das bringt ihn zu ganz neuen Ansichten in Bezug auf Sicherheit im Datenverkehr und ist vielleicht zumindest langfristig auch der Sicherheit im Internet insgesamt zuträglich.

Das funktioniert aber nur, wenn wir die Nicht-Sicherheitsprofis nicht von den Informationen abschneiden, die ja in Zukunft nur noch von Druidenmund zu Druidenohr weitergegeben werden. Es haut nur hin, wenn auch irgendwelche Schüler sich mal ein Hackertool runterladen können, noch besser selberschreiben, und ausprobieren.

Berichte über entdeckte Sicherheitslücken in Programmen, Online-Shops und Banken werden wir auch nicht mehr viele bekommen (ausser vielleicht im Ausland). Die könnten ja nur noch beauftrage Unternehmen veröffentlichen und in deren Auftrag wird sicher irgend eine Klausel dem entgegenstehen. Für die Bank ist das natürlich eine feine Sache, wenn Störenfriede die die Sicherheit des Online-Bankens in Frage stellen automatisch straffällig werden. Für den Kunden ist das eher ein Verlust, langfristig auch für das ganze System, wenn Lücken nicht mehr veröffentlicht werden, sondern erst die Schäden.

Interessant sind auch die Augenzeugenberichte über die letzte Lesung des Gesetzes. Ich dachte ja bisher immer, die Vorarbeit würde im verborgenen stattfinden, die Plenarsitzungen aber live. Ist aber garnicht so. Einige Beschlüsse werden nachts in kleiner Besetzung in einer Art Simulation mit vorher zu Protokoll gegebenen Reden einfach durchgespielt. War aber auch leicht. CDU, CSU, FTP, Grüne waren einer Meinung. SPD ausser Jörg Tauss (seine Gründe) ebenfalls. Die Linke war dagegen. In so klaren Fällen gilt es sicher als unkollegial, nachzählen zu lassen, wie viele so spät noch da sind.

Nachtrag: Ab 11.8. ist das Gesetz gültig.