renephoenix.de

Datenspuren 2005 - Zusammenfassung

Am 08.05. fand in Dresden eine Tagung zum Thema »Datenspuren — Datenschutz war gestern«. Der Tag war insgesamt sehr interessant gewesen, an der Stelle auch ein großes Lob an die Organisatoren dieses Ereignisses. Hier gibt es ein paar Mitschriften und Gedanken zu dem Tag.

Es ging mit ein paar Vorträgen über gesetzliche Rahmenbedingungen los. Zum Beispiel sind die Anbieter seit Jahresbeginn verpflichtet, Verbindungsdaten der E-Mails zu speichern. Dem gegenüberstanden Vorträge über Anonymisierungswerkzeuge wie Tor und AN.ON.

Ein Vortrag richtete sich über die Erfassung biometrischer Daten — und im passenden Workshop wurde gezeigt, wie schnell und einfach man den Fingerabdruck fälschen kann.

Etwas amüsanter ging es dann zum Thema Maut zu, etwas dramatischer über die Abhörmöglichkeiten im Mobilfunk. Und nicht zu vergessen: die Schily-Bohnen RFID. Übrigens war Schily die Witzfigur des Tages!

Der Abschluß bildete eine Podiumsdiskussion. Diese artete sehr weiträumig aus. Die zentrale Frage, die sich für mich stellt: wie kann man diese brisanten Themen an die Bevölkerung bringen? Es betrifft letztendlich alle?

Mit der Tagung hat der Computer Chaos Club gute Aufklärungsarbeit geleistet. Allerdings ist der CCC nicht der Club, der die breite Bevölkerung anspricht (ich assoziiere immer Hack A Bike). Kann es z.B. das Fachblatt Bravo für die Jamba-Generation tun? Bild? Die Chance ist eher minimal ....

Soviel erst einmal zur Diskussion, hier ein paar Mitschriften vom Tag:

(Foto von Matthias)

Gesetzliche Rahmenbedingungen

Hannah Seifert von ECO stellt den gesetzlichen Stand zur Überwachung und zur Vorratsdatenspeicherung vor. Vielleicht hat der eine oder andere gehört, daß E-Mails seit Jahresbeginn überwacht werden dürfen — natürlich nur die Verbindungsdaten. Natürlich dient das nur der Terroristenvorbeugung, aber die Kosten sollen die Provider tragen — und letztendlich der Kunde. Somit finanzieren wir unsere eigene Überwachung. Der ECO vertritt die Provider gegenüber der Politik, die diese Kosten nicht unbedingt übernehmen wollen.

Nun wird es zwei Arten von Benutzern geben, der weniger Intelligente wird sagen: »Ich habe ja nichts zu verbergen«.

Anonymes Surfen

An der TU wurde AN.ON (Anonym Online) entwickelt. Als Gegenprodukt gibt es TOR. Beide funktionieren so, daß sämtliche Anfragen über ein Dutzend von Zwischenproxys geleitet werden — und zwar so, daß die Quelle hinterher nicht mehr ermittelbar ist.

Biometrie in Ausweisdokumenten

Die USA fordert biometrische Daten in Reisepässen (ok, wer will schon in die USA?). Schily will das auch und treibt das Thema ohne Rücksicht auf Verluste voran.

Um biometrische Daten erfassen zu können, ist eine Lebenerkennung notwendig. Bei Fingerabdrücken wird dies u.a. durch den Widerstand der Haut, Farbe, Reflexionseigenschaften sowie durch Schweißaustritt deutlich. Bei der Gesichtserkennung erfolgt es über Reflexion sowie die Bewegung mit Kopf und Lippen. Die Probleme, die die Biometrie derzeit bietet:

  • Mindestqualität bei der Aufnahme (z.B. biometrische Zwillinge)
  • hohe Fehlerrate
  • keine Langzeitstabilität, schließlich verändern sich Menschen (allg. Alterung)
  • starke Abhängigkeit an Umwelteinflüße (schlecht geschlafen?)
  • Wechsel von Merkmalen (Narbe, ...)
  • Lebensdauer von Algorithmen (z.B. Entschlüsseld eines Codes)
  • hohe Kosten
  • unbemerkte Überwachung
  • Überwindbarkeit

Zur Überwindbarkeit dieser biometrischen Daten gab es einen Workshop. Bei diesem wurde gezeigt, wie man mit einfachsten Mitteln Fingerabdrücke basteln kann. Ein Foto, ein Ausdruck, etwas Folie und Leim — fertig! Bei der Gesichtserkennung könnte man Videos vorspielen, sich anpassen (schminken) oder Vollmaske tragen.

Fazit: solche Systeme können niemals den gewünschten Erfolg bringen. Das weiß vermutlich auch da BMI, deshalb laden die Leute aus, die das auch wissen!

Toll Collect

Volker Birk stellte das System rund um Toll Collect sehr amüsant vor:

  • Die erste Ausschreibung sah eine Vertragsstrafe ab dem ersten Tag vor, wodurch einige Mitbewerber abgesprungen sind. Dann bekam TollCollect den Zuschlag ohne Vertragssystrafe. Vodaphone und Siemens haben dagegen geklagt, da einigte man sich gütlich.
  • Vertrag mit 17.000 Seiten (34 Ordner) ist geheim
  • Kein Notar in Deutschland unterzeichnet so einen Vertrag. Ausweg Schweiz. 1. Anlauf ist Zürich, die dürfen aber keine EU-Sachen gegenzeichnen. Also 2. Anlauf in Basel. Bei Basel muß man zwischen Basel-Stadt und Basel-Land unterscheiden, also 3. Anlauf nötig. Und einen vierten für die Presse.
  • Strecke buchen per Maut, Automaten an Tankstelle (laufen mit Linux, Kommunikation per ISDN) und OBU
  • Mautbaken korrigieren Meßfehler (z.B. Maut neben Normalstrecke)
  • OBU schickt Abrechnung per SMS
  • Mautkontrolle mit Brücken und Kontrollfahrzeugen
  • Kommunikation zwischen OBU und Brücke mit Infrarot (verdreckte Scheiben und Regen sind nützlich)
  • Betrieb 4A, StandBy: 2A. Eine normale Batterie im LKW hält ca 2,5 Tage.
  • Mautbetreiber bekommt in D 20% der Einnahmen (in CH 6%, in F 7%)
  • Rumänisch nicht vorgesehen (TC: »Das dürfen wir laut Vertrag nicht«)
  • System soll zwischen 200 Mio und 1 Mrd. Euro gekostet haben (unterschiedliche Angaben)

RFID

Diese neuartigen Schily-Bohnen wurden vorgestellt. Der Konsens ist folgender: wir dürfen der Industrie nicht die Fehler nennen, die sie macht. Wir müssen sie ablehnen. Sonst bessern sie die paar Fehler nur nach!

Abhören in Mobilfunknetzen

  • GSM bietet 4 Moden: a50, a51, a52 und a53
  • a53 liefert eine gute Verschlüsselung, ist aber relativ neu und wenig verreitet. a50 bietet keine Verschlüsselung und die anderen beiden nur eine minimale. Da nicht jeder Mast mit der Verschlüsselung umgehen kann, können diese Sendemasten auch eine Aufforderung geben, ohne Verschlüsselung zu senden. Ein wunder Punkt zum Angreifen.
  • UMTS ist an sich ok, jedoch ist jedes UMTS-Handy auch ein GSM-Handy. Man muß nur das UMTS-Netz stören und schon sendet das Handy auf GSM-Basis.
  • »Beifang« ist, wenn eine Person überwacht wird, und dabei weitere Straftaten aufgedeckt werden
  • Polizei zahlt nichts für Abhörvorgang, der macht trotzdem Arbeit. Deshalb haben Anbieter teure Servicerufnummern für Fax.
  • Handys haben Möglichkeiten der stummen Anrufannahme. D.h. ohne Wissen des Empfängers kann sich das Mikro des Handys anschalten.
  • VoIP — Skype hat zentralen Server, jedoch hängt skype eng mit kazaa in Verbindung
  • VoIP — freenet/web.de haben keine Verschlüsselung
  • VoIPsec — Verschlüsselung mit behördlicher Abhörschnittstelle
  • Abhören durch Microfon (phyischer Zugang einmal notwendig, um neue Firmware zu installieren)
  • Lokalisierungsmethoden: Zell-ID (Mittelpunkt einer Zelle), Zell-ID mit Time of Arrival, Triangulation und Assisted GPS

Zur Erklärung: ein Sendemast hat mehrere Funkzellen, in der sich ein Teilnehmer aufhällt. Die Erfassung ist notwendig, um der Person letztendlich Empfang zu geben (Ortung: 150 Meter bis 20 km). Wenn man nun die Zeit zwischen dem Senden und dem Empfang einer Nachricht mißt, kann man die Entfernung des Handes zum Sendeturm ermitteln. Damit bleibt nur noch ein Streifen übrig (Variante 2: ca. 50 bis 250 Meter). Die dritte Variante ist die Zeitmessung von drei Funktürmen aus. Damit ist die Ortung wesentlich kleiner als 50 Meter. Allerdings ist diese Variante sehr aufwendig: Ein Handy kommuniziert nur mit einem Funkturm. Also muß man das so manipulieren, daß sich das Handy an den drei Türmen der Reihe nach anmeldet, z.B. durch Störung). Die Variante mit GPS ist satelitengesteuert und findet in Deutschland keinen Einsatz.

Die abschließende Frage war: Handy aus — oder Akkus raus? Beim nicht ordnungsgemäßen Ausmachen wird der letzte Standpunkt gesichert, bei normalen Haus der Standpunkt der letzten Aktion. Sicherer ist, daß Handy gleich zu Hause zu lassen.

noch ein Hinweis

Am 26.05. kann man Mitschnitte der Veranstaltung bei Coloradio (NRJ-Frequenz) anhören.

Bisherige Kommentare (0)

Es wurde noch kein Kommentar geschrieben!

Kommentar verfassen

Freiwillige Angabe
Freiwillige Angabe
Der Text kann mit Textile formatiert werden, z.B. *fett* _kursiv_ "link":url. Wie das geht?
Wieviel ist 40 plus 2?

Bisherige Trackbacks (0)

Es wurde noch kein Trackback empfangen!