Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 04 2014

Maulkorb für FISA-Anfragen wird gelockert, aber nur ein bisschen

Letztes Jahr haben Facebook, Google, Yahoo, LinkedIn und Microsoft beim amerikanischen FISA-Gericht, das die Kompetenzen der Auslandsgeheimdienste regelt, gefordert, genauere Auskunft über die Menge herausgegebener Datensätze geben zu dürfen, die durch eine Anordnung des FISA-Gerichts oder unter einem National Security Letter des FBI angefordert wurden.

Am 27. Januar veröffentlichte das Justizministerium eine Antwort, die den Antragsstellern “entgegenkommt”. Es gibt nun zwei Möglichkeiten, Zahlen zur Anzahl der Anfragen in Halbjahren zu veröffentlichen:

  • in Tausenderschritten die Anzahl an Anfragen, betroffenen Nutzern und Selektoren, gegliedert in FISA-Anfragen und National Security Letters (bei Letzteren war das jedoch bereits vorher möglich)
  • in 250er-Schritten, wenn die Anfragen zusammengefasst werden

Bei FISA-Anordnungen muss der Endpunkt des betroffenen Zeitraums außerdem mindestens ein halbes Jahr zurückliegen.

FacebookGoogle, YahooLinkedIn und Microsoft haben nun Gebrauch von der Neuregelung gemacht. Aber auch Apple hat die Gelegenheit bereits genutzt, denn die Entscheidung gilt allgemein und nicht nur für die fordernden Parteien.
Allen gemeinsam war, dass sie von weniger als 1000 FISA-Anordnungen pro Halbjahr reden. Das gibt einen Eindruck davon, wie unaussagekräftig in dieser Hinsicht die festgelegten Zahlenschranken sind. Stärker differiert jedoch die Anzahl an betroffenen Accounts. Zieht man die FISA-Anordnungen des ersten Halbjahres 2013 heran, führt Yahoo mit 30-31k, gefolgt von Microsoft mit 15-16k, Google mit 9-10k und Facebook mit 5-6k. Am schwächsten war das Interesse für LinkedIn, diese bekamen zusammengenommen weniger als 250 Anfragen. Wichtig ist hier noch, im Auge zu behalten, dass die Anzahl der Accounts nicht identisch mit den betroffenen Nutzern sein muss, da Mehrfachaccounts auch auftauchen. Die Nutzeranzahl liegt also auf jeden Fall unterhalb der obigen Zahlen.

Wirklich befriedigende Transparenz bringen die Angaben nicht. Es scheint mehr, als bewege man sich einen minimalen Schritt vorwärts, um damit argumentieren zu können, man habe sich um bessere Transparenz bemüht, so wie Präsident Obama in seiner Rede angekündigt hat.  Google hat bereits ein Statement abgegeben und fordert den Kongress auf, weiter zu gehen:

Wir glauben weiterhin, dass mehr Transparenz benötigt wird, damit jeder verstehen kann, wie Überwachungsgesetze funktionieren und ob sie dem öffentlichen Interesse dienen. Vor allem wollen wir zeitnah die genauen Zahlen und die Arten der Anfragen bekanntgeben, sowie die Anzahl betroffener Nutzer.

Ein sehr guter Einwand kommt an dieser Stelle auch von Microsoft. Brad Smith weißt in seinem Kommentar darauf hin, dass mehr Transparenz hinsichtlich der Anfragen zwar wünschenswert ist, aber nicht aus den Augen verloren werden darf, dass Informationen auch an den Gesetzen vorbei ermittelt werden und dass von Regierungsseite zu wenig geschehen sei, um zu verhindern, dass Internetfirmen gehackt werden, um massenhaft Nutzerdaten zu überwachen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

December 06 2013

Microsoft schaut dir ins Gehirn und rät dein Passwort

Normale Tools zum Überprüfen der Passwortsicherheit wie dieses schauen, wie viele Sonderzeichen ein Passwort hat, ob es aus einem Wörterbuch kommt und wie lang es ist, um vorherzusagen, wie lange es eventuell dauert, es zu brechen.

Forscher bei Microsoft Research haben ein Tool namens Telepathwords entwickelt und gestern veröffentlicht, das etwas anders vorgeht und dem Nutzer beim Tippen eines Passworts vorhersagt, welches Zeichen er vermutlich als nächstes eingeben wird. Dabei werden auch die klassischen 1337-Speak-Ersetzungen enttarnt, oft genutzte Passwörter herangezogen und ein (momentan nur englisches) Wörterbuch zur Hilfe genommen.

telepathwords

Aber immer, wie bei allen Passwort-Prüftools, dran denken: Gebt nicht leichtfertig eure realen Passwörter ein, denn Daten über das Mausverhalten und die Statistik der richtig geratenen Zeichen werden, wenn auch bereits im Browser verschlüsselt, geloggt und eventuell für Forschungszwecke mit Universitäten ausgetauscht. Und wenn, dann achtet immer darauf, dass ihr eine sichere HTTPS-Verbindung mit einem gültigen Zertifikat aufgebaut habt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 07 2013

Copyright Removal Requests: Google soll über 21 Millionen URLs je Monat aus den Suchergebnissen verschwinden lassen

CapCop

Captain Copyright (Quelle: Wikipedia)

Copyright Removal Requests werden anscheinend immer beliebter bei der Medienindustrie. So erhielt Google laut seines aktuellen Transparenz-Berichts allein letzten Monat über 21.5 Millionen URLs, die angeblich widerrechtlich urheberrechtlich geschütztes Material verlinken – das sind rund 8 URLs je Sekunde. Google erhält diese Listen mit URLs weil die Urheber oder deren Vertreter davon ausgehen, dass die URL von ihnen geschütztes Material enthält und dass dieses illegale Verteilen zu Umsatzverlusten führt – aufgrund dieser Annahmen sendet die British Recorded Music Industry z.B. jede Woche rund 150.000 URLs an Google. Beide Annahmen sind falsch. 

Annahme 1: Die URLs enthalten urheberrechtlich geschütztes Material

Bei über 21 Millionen URLs je Monat sollte es offensichtlich sein, dass die Listen mit URLs vollständig automatisiert erstellt werden – basierend auf Wortfiltern. Zum einen werden die URLs nicht überprüft, oder dort wirklich besagtes Material liegt. Zum anderen werden auch skrupellos völlig legale Inhalte blockiert. Microsoft hatte hier in der Vergangenheit für Schlagzeilen gesorgt, da URLs zu Open Office, Wikipedia und sogar den eigenen Seiten an Google zur Löschung geschickt wurden. In Microsofts URL Listen waren so viele Fehler, dass Microsoft dem verantwortlichen französischen Unternehmen LeakID kündigte. Und dies sind lediglich die Fälle, die es in die Schlagzeilen schaffen. Löschanträge von Rechteinhabern an Suchmaschinen unterliegen keinerlei Aufsicht und können daher auf simpelste Weise missbraucht werden.

Annahme 2: Illegales Verbreiten schadet dem Umsatz

Erst letzte Woche veröffentlichte die London School of Economics einen Report, der – wie einige andere zuvor – zum einen belegt, dass der Mythos des schwindenden Umsatzes der Unterhaltungsindustrie schlichtweg falsch ist. Zum anderen aber auch darlegt, dass Filesharing gerade nicht zu Umsatzeinbußen führen muss.

In fact, file sharers in the UK were found to spend more on content than those who only consumed legal content, demonstrating the potential boost to legal digital content sales as a result of content sampling.

Einen anderen Grund legt Game of Thrones Director David Petrarca dar. Kulturgüter – wie Musik, Filme und Serien – leben zu einem großen Teil vom “cultural buzz”. Viele Downloads und eifriges Teilen kann dazu führen, dass über eine Serie oder einen Film länger geredet wird und er somit langfristig im Bewusstsein bleibt.

Letztlich zeigen Googles Transparency Report und die Studie der London School of Economics, zusammen mit den konstanten Nachrichten über Missbrauch von Copyright Remvoal Requests, dass unser Urheberrecht dringendst überarbeitet werden muss.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01schwa

September 05 2013

PRISM Firmen antworten der Bundesregierung: “Meine Name ist Hase, ich weiß von nichts.”

Die Firmen von PRISM.

Die Firmen von PRISM laut NSA.

Acht der neun Internet-Unternehmen, die laut NSA Teil des Überwachungsprogramms PRISM sind, dementieren eine unmittelbare Zusammenarbeit mit US-Behörden. Das geht aus den Antworten der Firmen auf einen Fragenkatalog der Bundesinnenministeriums hervor, die wir an dieser Stelle veröffentlichen. Das Problem: Falls die Unternehmen einen Beschluss auf Grundlage des Foreign Intelligence Surveillance Act erhalten haben, dürfen sie gar nicht darüber sprechen.

Der Summer of Snowden kam so richtig ins Rollen am 6. Juni, als Glenn Greenwald über das Programm PRISM berichtete, das der NSA “direkten Zugriff auf die Systeme” von neun der größten amerikanischen Internet-Firmen geben soll. Das wurde von amerikanischen Behörden auch nicht bestritten.

Die beteiligten Firmen jedoch wollen davon nichts wissen. Wie viele andere Stellen hat auch das deutsche Innenministerium einen Fragenkatalog an die beteiligten Firmen geschickt, über den wir hier berichtet hatten. Wir haben natürlich sofort eine Informationsfreiheits-Anfrage nach den Antworten gestellt. Nachdem auch Bundestag und Regierung auf die von uns veröffentlichten Fragen verwiesen haben und endlich die Antworten sehen wollten, haben wir heute endlich die Antworten erhalten:

Die Fragen der Staatssekretärin im Bundesministerium des Innern, Frau Rogall-Grothe, vom 11. Juni 2013 haben die folgenden Internetunternehmen beantwortet: Yahoo, Microsoft einschließlich seiner Konzerntochter Skype, Google einschließlich seiner Konzerntochter Youtube, Facebook und Apple. Keine Antwort ist bislang von AOL eingegangen.

Die Unternehmen Facebook und Google haben im Nachgang weitere Informationen zur Verfügung gestellt, die Ihnen auf Wunsch der beiden Firmen ebenfalls übermittelt werden.

Und die Antworten auf diese acht konkreten Fragen sind wenig überraschend: Niemand wusste von irgendwas.

Apple antwortet in einem Einseiter und zitiert seine eigene Presse-Aussage:

We have never heard of PRISM. We do not provide any government agency with direct access to our servers, and any government agency requesting customer data must get a court order.

Genaueres oder der FISA Abschnitt 702 wird noch nichtmal erwähnt.

Facebook zitiert einen Facebook-Post von Mark Zuckerberg:

Facebook is not and has never been part of any program to give the US or any other government direct access to our servers. We have never received a blanket request or court order from any government agency asking for information or metadata in bulk, like the one Verizon reportedly received. And if we did, we would fight it aggressively. We hadn’t even heard of PRISM before yesterday.

Weiter heißt es:

Sie bitten in Ihrem Schreiben um Auskunft zu Anfragen, die möglicherweise von amerikanischen Sicherheitsbehörden an Facebook gestellt wurden. Ich habe diese Fragen an meine Kollegen weitergeleitet, die unser weltweites Strafverfolgungsprogramm verantworten. Meine Kollegen haben mich darüber informiert, dass sie mir die gewünschten Informationen jedoch nicht zur Verfügung steilen können, ohne damit amerikanische Gesetze zu verletzen.

Zudem verweist Facebook auf ein Statement des Direktors der nationalen Nachrichtendienste James Clapper.

In einem zweiten Brief verweist Facebook auf seinen neu eingeführten Transparenzbericht.

Google fängt erstmal mit einem Disclaimer an:

Wie Sie wissen, sind die rechtlichen Rahmenbedingungen im Zusammenhang mit behördlichen Ersuchen zur Herausgabe von Daten gerade im internationalen Kontext äußerst komplex. Zudem unterliegt die Google Inc. umfangreichen Verschwiegenheitsverpflichtungen im Hinblick auf eine Vielzahl von Anfragen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Intelllgence Surveillence Act (FISA). Ich habe ihre Anfrage daher der Rechtsabteilung der Google Inc., die sich mit diesen Fragestellungen befasst, zur Prüfung übermittelt.

Dann das Dementi:

Auch uns haben die Presseberichte über ein Überwachungsprogramm PRISM überrascht und besorgt. Wie Sie den öffentlichen Äußerungen unseres Chief Legal Officers David Drummond entnehmen konnten, ist die in diesem Zusammenhang geäußerte Annahme, dass US Behörden direkten Zugriff auf unsere Server oder unser Netzwerk haben, schlicht falsch.

Entgegen einiger Behauptungen in den Medien ist es unzutreffend, dass Google Inc. den US Behörden uneingeschränkt Zugang zu Nutzerdaten eröffnet. Wir haben niemals eine Art Blanko-Ersuchen zu Nutzerdaten erhalten (im Gegensatz beispielsweise zu dem gleichfalls angeführten Fall, der Verizon betrifft). Die Google Inc. verweigert die Teilnahme an jedem Programm, welches den Zugang von Behörden zu unseren Servern bedingt oder uns abverlangt, technische Ausrüstung der Regierung, welcher Art auch immer, in unseren Systemen zu installieren.

Gleichwohl unterliegen wir wie erwähnt umfangreichen Verschwiegenheits-Verpflichtungen hinsichtlich einer Vielzahl von Ersuchen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Inteiligence Surveillance Act (FISA).

Zwei Monate später haben sie noch einmal geantwortet und unter anderem auf einen Gastbeitrag des Chefjuristen David Drummond in der FAZ verwiesen (und als ausgedrucktes Internet angehängt).

Die Antwort von Google gilt auch für YouTube.

Microsoft antwortet wie Apple mit einem Einseiter und auf englisch:

Microsoft does not participate in a program called “PRISM” or any similar program. Microsoft also learned of the program called PRISM through the media reports you mentioned. This applies equally to Skype.

Die Antwort von Microsoft gilt auch für Skype.

Yahoo! dementiert am wenigsten deutlich:

Die Yahoo! Deutschland GmbH hat im Zusammenhang mit dem Programm „PRISM“ wissentlich keine personenbezogenen Daten ihrer deutschen Nutzer an US-amerikanische Behörden weitergegeben, noch irgendwelche Anfragen von US-amerikanischen Behörden bezüglich einer Herausgabe solcher Daten erhalten.

Die amerikanische Yahoo! Inc. hat die Yahoo! Deutschland GmbH auf das Statement Setting the Record Straight verwiesen.

Als einzige Firma beantwortet Yahoo! die acht Einzelfragen des Ministeriums. Aber da man nicht an PRISM beteiligt sei, ist die Antwort acht mal:

Die Yahoo! Deutschland GmbH arbeitet im Hinblick auf das Programm “PRISM” nicht mit US-amerikanischen Behörden zusammen.

AOL hat als einziges Unternehmen der Bundesregierung in mehr als zwei Monaten gar nicht geantwortet.

Die Bundesregierung fasst die Antworten treffend zusammen:

In den vorliegenden Antworten wird die in den Medien im Zusammenhang mit dem Programm PRISM dargestellte unmittelbare Zusammenarbeit der Unternehmen mit US-Behörden dementiert. Die Übermittlung von Daten finde allenfalls im Einzelfall auf Basis der einschlägigen US-Rechtsgrundlagen auf Grundlage richterlicher Beschlüsse statt.

Oder auch: “Meine Name ist Hase, ich weiß von nichts.”

Die Glaubwürdigkeit dieser Aussagen ist aber trotzdem “eher so mittel”. Schon am 7. Juni sagte Mark Rumold, ein Anwalt bei der Electronic Frontier Foundation, gegenüber ABC News:

Wenn diese Unternehmen im Rahmen der FISA Amendments Act einen Beschluss erhalten haben, dürfen sie laut Gesetz weder den Erhalt des Beschlusses noch irgendwelche Informationen darüber offenlegen.

Vor diesem Hintergrund klingen die Disclaimer, wie die von Google über die Verschwiegenheitsverpflichtungen, nochmal anders. Zumal die US-Regierung im Gegensatz zu den Unternehmen die Zusammenarbeit nie dementiert hat.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 23 2013

NSA: Neue Dokumente belegen, dass die NSA Service Provider bezahlt hat.

Das Utah Data Center. Quelle: Wired.

Das Utah Data Center. Quelle: Wired.

The Guardian hat neue Dokumente veröffentlicht, die belegen, dass US amerikanische Service Provider dafür ‘entschädigt’ wurden, dass sie das Prism Programm mit Daten versorgen. Wir hatten vor einer Woche berichtet, dass der ‘haus-eigene’ Foreign Intelligence Surveillance Court (FISC) der NSA vorwarf, nicht genau genug zwischen ausländischer und US amerikanischer Kommunikation zu unterscheiden. Da die NSA somit ‘nachbessern’ musste, wurde mit den Service Providern zusammengearbeitet, um Datenverkehr besser identifizieren zu können. Dies war notwendig, um weiterhin durch den FISC zertifiziert zu werden. So liest man in einem Newsletter der NSA, dass an die Service Provider mehrere Millionen USD gezahlt wurden.

Last year’s problems resulted in multiple extensions to the certifications’ expiration dates which cost millions of dollars for Prism providers to implement each successive extension – costs covered by Special Source Operations.

Die Special Source Operations Abteilung der NSA ist dabei für die reibungslose Zusammenarbeit mit Service Providern zuständig – laut Edward Snowden das ‘Kronjuwel’ der NSA. In einem späteren Newsletter liest man, dass mittlerweile alle Provider die nötigen Maßnahmen getroffen haben – nur Yahoo und Google hinken etwas hinterher.

All Prism providers, except Yahoo and Google, were successfully transitioned to the new certifications. We expect Yahoo and Google to complete transitioning by Friday 6 October.

Bestätigt wurde die Zusammenarbeit mit der NSA zumindest von Google, Yahoo, Facebook und Microsoft. Auf Anfrage des Guardian bestätigte Yahoo, dass es Zahlung durch die NSA als Aufwandsentschädigung erhalten habe. Microsoft wollte kein Kommentar abgeben und Google beharrt weiterhin darauf, dass die Presse dramatisiere und sich vieles relativieren würde, wenn die NSA es Google erlaube, Dokumente zu veröffentlichen.

Somit wurde durch Edward Snowden ein weiteres Puzzle-Teil veröffentlicht, dass zeigt, wie eng die NSA mit privaten Unternehmen zusammenarbeitet, um jeglichen Datenverkehr überwachen zu können. Außerdem ist dies der erste handfeste Beweis, dass die Unternehmen davon gewusst haben und für ihre ‘Umstände’ entschädigt wurden.

The responses further expose the gap between how the NSA describes the operation of its Prism collection program and what the companies themselves say.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymondkroete mondkroete

August 15 2013

Microsoft: DMCA-Löschanträge als Wettbewerbsvorteil?

dmcaIm Zuge des Digital Millenium Copyright Acts der USA können private Unternehmen Löschanträge an Dienste- und Inhalteanbietern, aber auch an Suchmaschinen stellen, wenn sie der Meinung sind, dass diese urheberrechtlich geschütztes Material hosten oder verlinken. Vor allem größere Unternehmen aus der Film- und Musikindustrie, aber auch Microsoft, nutzen diese Möglichkeit um Suchmaschinen, wie Google, mittels voll-automatisierter Systeme über vermeintlich illegale Inhalte zu informieren. Dabei kommt es immer wieder zu teils heftigen Patzern. Nun berichtet TorrentFreak, dass Microsofts Filter in letzter Zeit wohl übereifrig waren und in den Lösch-Listen (Die Microsoft dann zu Google & Co. schickt) auch einige Verweise auf die freie Microsoft Office Alternative “Open Office” von Apache enthalten waren. Wie man an der Liste sieht lagen diese Versionen zwar nicht auf dem offiziellen Tracker von Open Office, darum geht es aber auch nicht wirklich. Vielmehr verdeutlicht dieser Vorfall ein weiteres Mal, dass diese Lösch-Praktiken völlig in-transparent, sowie fehler- und missbrauchsanfällig sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted byminderleister minderleister

July 26 2013

NSA und Co. fordern anscheinend auch die Herausgabe von Passwörter von Unternehmen

Nachdem wir vorgestern berichtet haben, dass amerikanische Polizei- und Verfassungsschutzbehörden die Herausgabe von SSL-Master-Keys von Unternehmen verlangen, kann die neuste Nachricht kaum mehr überraschen. Die amerikanischen Behörden verlangen nämlich scheinbar auch Nutzerpasswörter, teilweise sogar samt Verschlüsselungsalgorithmus und Salt. Das berichtet CNET mit Bezug auf zwei anonyme Quellen aus der Industrie.

“I’ve certainly seen them ask for passwords,” said one Internet industry source who spoke on condition of anonymity. “We push back.” A second person who has worked at a large Silicon Valley company confirmed that it received legal requests from the federal government for stored passwords. Companies “really heavily scrutinize” these requests, the person said. “There’s a lot of ‘over my dead body.’”

Microsoft, Google und Yahoo wollten sich nicht dazu äußern ob sie solche Anfragen von amerikanischen Behörden tatsächlich erhalten hätten, sagten aber entschieden, niemals die Passwörter seiner Nutzer preis zu geben. Yahoo:

If we receive a request from law enforcement for a user’s password, we deny such requests on the grounds that they would allow overly broad access to our users’ private information. If we are required to provide information, we do so only in the strictest interpretation of what is required by law.


Weitere Unternehmen, darunter Facebook, Apple und Verizon, wollten überhaupt keine Stellungnahme abgeben. Ebenso wollte das FBI keine Stellungnahme abgegen.

Ähnlich wie bereits bei der Herausgabe der SSL-Master-Keys haben es die US-Behörden hier aber sicherlich auf kleinere Unternehmen abgesehen, welche nur wenige Möglichkeiten haben sich gegen die Behörden zu wehren. Und da Nutzer oftmals nur ein Passwort für eine Reihe verschiedener Dienste verwenden, besteht die Möglichkeit, dass es den Behörden reicht ein Passwort zu erhalten und damit Zugriff auf ein Vielzahl von Diensten erhält.

Eine Frage, die zum jetzigen Zeitpunkt ungeklärt scheint, ist die Frage der Rechtmäßigkeit einer solchen Anfrage auf Herausgabe des Nutzerpassworts:

“This is one of those unanswered legal questions: Is there any circumstance under which they could get password information?” said Jennifer Granick, director of civil liberties at Stanford University’s Center for Internet and Society. “I don’t know.” Granick said she’s not aware of any precedent for an Internet company “to provide passwords, encrypted or otherwise, or password algorithms to the government — for the government to crack passwords and use them unsupervised.” If the password will be used to log in to the account, she said, that’s “prospective surveillance,” which would require a wiretap order or Foreign Intelligence Surveillance Act order.

Dass die Behörden aber auch noch andere Wege haben, an die Passwörter und damit an die Daten der Nutzer zu gelangen, schildert ein Anwalt eines amerikanischen Internetkonzerns:

An attorney who represents Internet companies said he has not fielded government password requests, but “we’ve certainly had reset requests — if you have the device in your possession, than a password reset is the easier way.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2013

US-Strafverfolgungsbehörden fordern Master-Keys für SSL von Unternehmen

SSL ist eine beliebte Verschlüsselungstechnik im Internet, wenn es darum geht verschlüsselte Verbindungen aufzubauen. Einsatz findet SSL deshalb zum Beispiel im Online-Banking aber auch beim Versand von E-Mails. Bisher galt die Verschlüsselung mittels SSL als sicher. Möglichweise ist damit ab sofort Schluss. Wie CNET berichtet, setzen amerikanische Strafverfolgungsbehörden wie die NSA, CIA oder das FBI Unternehmen unter Druck, ihnen die Master-Keys für die SSL-Verschlüsselungen ihrer Verbindungen auszuhändigen. Mit diesem Master-Keys hätten die Behörden die Möglichkeit den kompletten Datenverkehr zu entsprechenden Diensten und Webseiten der Unternehmen zu entschlüsseln.

Solch ein Master-Key kann mit einem Generalschlüssel verglichen werden. Jeder Anbieter eines Dienstes im Internet besitzt solch einen Schlüssel, mit dem jegliche Kommunikation zu seinen Diensten gesichert wird. Gerät dieser Schlüssel in falsche Hände, ist demnach die gesamte Kommunikation gefährdet. Die großen Internetkonzerne hätten die Herausgabe ihrer Schlüssel bisher mit der Begründung fehlender rechtlicher Grundlagen verweigert, doch eine Person die angeblich von der Regierung nach einem SSL Master-Key gefragt wurde, sagt gegenüber CNET, dass es die Regierung auf kleinere Unternehmen abgesehen hätte, die nicht die Kraft hätten sich zu wehren:

“The government is definitely demanding SSL keys from providers” [...]. The person said that large Internet companies have resisted the requests on the grounds that they go beyond what the law permits, but voiced concern that smaller companies without well-staffed legal departments might be less willing to put up a fight. “I believe the government is beating up on the little guys,” the person said. “The government’s view is that anything we can think of, we can compel you to do.”


Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte, dass dieser Schritt notwendig sei, da immer mehr Kommunikation im Internet über verschlüsselte Verbindungen ablaufe:

“The requests are coming because the Internet is very rapidly changing to an encrypted model,” a former Justice Department official said. “SSL has really impacted the capability of U.S. law enforcement. They’re now going to the ultimate application layer provider.”

Ein Mitarbeiter des FBI wollte sich zu diesen Vorwürfen nicht äußern, da das FBI keine genauen “Strategien, Techniken und Anwendungen seiner Arbeit” nennen könne.

Die großen amerikanischen Internetkonzerne Google und Microsoft sagten auf Anfrage von CNET, dass sie keine Master-Keys an Strafverfolgungsbehörden weitergereicht hätten. Sie wollten jedoch nicht beantworten, ob es jemals Anfragen von Seiten der Behörden gab. Anderer Unternehmen, darunter Facebook, Apple, Yahoo, AOL, Verizon und AT&T wollten sich überhaupt nicht äußern. Ob bisher andere Unternehmen tatsächlich ihre Master-Keys für die SSL-Verschlüsselung an Strafverfolgungsbehörden ausgehändigt haben kann nicht mit Sicherheit gesagt werden. Doch alleine, die Anfrage amerikanischer Unternehmen lässt nichts Gutes vermuten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 23 2013

DNA und Tagesdecken im Kampf gegen Kindesmissbrauchs-Dokumentation Online

Twitter ist nun also auch dabei. Wie das Unternehmen nun bekanntgegeben hat, wird es bald Microsofts PhotoDNA System benutzen, um Bilder in Tweets auf Kindermissbrauchs-Dokumentation zu untersuchen. Neben Twitter benutzen auch Facebook, die Dänische und die Neuseeländische Polizei und natürlich Microsofts Bing, Skydrive und Hotmail Dienste das System. Was wird da gemacht?

Hany Farid, Professor am Dartmouth College und Entwickler von PhotoDNA, startete 2008 die Entwicklung mit der Idee, dass man sich darauf konzentrieren sollte, bereits bekannte Bilder von Kindermissbrauchs-Dokumentation wiederzuerkennen.

“My idea was, don’t try to go after things you haven’t seen before — go after the things you have seen before,” Farid said. “Go after the images that you know are child porn, that you know are horrible, that you know who the victims are and that you know people keep trafficking.”

flowchart_webUm ein Bild wiederzuerkennen erstellt PhotoDNA einen ‘digitalen Fingerabdruck’ des Photos. Hierzu wird das Bild in ein 12×12 Raster aufgeteilt und in Graustufen umgerechnet. Dann wird für jede Zelle der Hash (Prüfsumme) errechnet. Durch dieses ‘Robust Hashing’ kann PhotoDNA auch Bilder wiederkennen, selbst wenn diese skaliert oder anderweitig bearbeitet wurden. Von jedem Bild was zu Twitter hochgeladen oder verlinkt wird, wird auch selbiger Hash erstellt und gegen eine Hash-Datenbank abgegleicht. Hat das hochgeladene Bild denselben Hash, wie eines aus der Datenbank ist die Wahrscheinlichkeit sehr hoch, dass es sich um Kindermissbrauchs-Dokumentation handelt. Nach eigenen Aussagen ist die Chance auf einen False Positive (das System sagt, es ist Kindermissbrauchs-Dokumentation, obwohl es gar keine ist) 1/Milliarde. Außerdem erkenne es ein Bild zu 98%, wenn es in der Datenbank ist. Microsoft hat PhotoDNA dann vor einigen Jahren dem National Center for Missing & Exploited Children (NCMEC) gespendet. Seitdem kooperieren rund 13 Unternehmen freiwillig mit NCMECs Datenbank um die Verbreitung von Kindermissbrauchs-Dokumentation zu verhindern.
Google hat ein ähnliches System, den ‘Bedspread Detector’ (Tagesdecken Aufspürer). Der Name spielt darauf an, dass eine NCMEC-Mitarbeiterin zwei Kindesmissbrauchs-Fälle auf denselben Täter zurückführen konnte, da auf verschiedensten Bildern immer dieselbe Tagesdecke zu sehen war. So ist Googles Ansatz auch, nach markanten Mustern und anderen Besonderheiten (Tattoos, Räumlichkeiten, etc.) zu suchen, um dasselbe Opfer oder denselben Täter in verschiedenen Bildern wiederzuerkennen.

Von der Idee her klingen beide Systeme zunächst sehr sinnvoll und unterstützenswert im Kampf gegen Kindesmissbrauchs-Dokumentation online. Vor allem, wenn man zum einen bedenkt, dass die ‘manuelle’ Analyse der Bilddaten schier unmöglich ist und emotional sehr strapaziös für die Beamten sein kann.

[NCMEC] found 17.3m images of abuse in 2011 – and since 2002 has reviewed more than 65m images and videos of child sexual exploitation reported by the authorities.

Und zum anderen, dass ‘Notice and Takedown’ – also das Benachrichtigen des Administrators oder Providers, dass auf einem bestimmten Server Bilder und Videos von Kindesmissbrauch liegt – alleine nicht mehr ausreicht, da nach kurzer Zeit die Inhalte einfach an einem neuen Standort hochgeladen werden.

A senior FBI agent described notice and take down as “wackamole”. A notice is issued, the hosting company removes the image then, sometimes within minutes, the same picture will pop up somewhere else. And so on ad infinitum.

Wenn man sich dazu vergegenwärtigt, dass NCMEC schon 2009 jede Woche 250.000 Bilder potentiellen Kindesmissbrauchs beurteilen musste, ist es verständlich, dass Ernie Allen (Präsident und CEO von NCMEC) diese graphischen Analyse-Systeme als wichtiges Mittel im Kampf gegen die Verbreitung von Kindermissbrauchs-Dokumentation sieht.

While there won’t be miraculous changes overnight, the bottom line is, because of these tools, we’re making headway.

Klingt gut, oder? Fast. Wodurch sich diese Systeme noch auszeichnen, ist die Tatsache, dass sie so wenig wie möglich über die internen Mechanismen preisgeben – aus Angst, dass Pädophile versuchen die Schwachstellen in den Algorithmen auszunutzen. So warnt European Digital Rights (EDRI) davor diese stark eingreifende Technik unkritische als ‘Best Practice’ zu übernehmen. Es gibt keine unabhängigen Analysen zur Effizienz dieser Systeme. Außerdem wurde bisher nicht untersucht, ob es nicht auch negative Auswirkungen geben könnte.

What happens when somebody tries to do this? [kinderpornographische Bilder hochladen] Nobody knows. What happens if a criminal tries to upload innocent parts of images as a way of filtering his/her own collection of illegal images to identify images unknown to the police? We don’t know. How big is the risk that this could lead to incentives to creating new illegal images and new abuse? We don’t know.

Diese Bedenken sind mehr als berechtigt, bei einem System bzw. einer Technik, die bei immer mehr Diensten und Ländern zum Einsatz kommt. Es ist verständlich, dass für die schiere Masse an Bilddaten heutzutage automatisierte Systeme zum Einsatz kommen müssen. Außerdem scheint der Ansatz, nach bekannten Bildern von Kindesmissbrauch zu suchen, sinnvoll, da so – im besten Falle – aktuelle Fälle schneller erkannt werden. Gleichzeitig muss man kritisch bleiben und Nachfragen dürfen nicht unterbunden werden, nur weil es “um unsere Kinder geht”. Bei Filtersystemen besteht immer die Gefahr, dass – einmal etabliert – der Fokus ausgeweitet wird und nicht mehr nur Kindermissbrauchs-Dokumentation blockiert wird. Gerade deswegen sollte es eine neutrale Instanz geben, die diese Systeme evaluiert, denn bisher handelt es sich lediglich um ‘Best Practice’ von Microsoft, Google und Co. Außerdem muss unterschieden werden, ob so ein System bei einem Dienst, wie Twitter oder Facebook eingesetzt wird, oder gar auf ISP-Ebene, wo es wesentlich eingreifender wäre.

Microsofts PhotoDNA und Googles Bedspread Detector sind gute und sinnvolle Systeme, die ein wichtiges Problem versuchen zu lösen. Nun sollte es aber auch darum gehen, diese Systeme nicht ‘im Dunkeln’ einzusetzen, sondern Effizienz, mögliche nachteilige Auswirkungen und sinnvolle Implementationen kritisch zu hinterfragen. Und wie EDRI verdeutlicht, sind uns NCMEC, Microsoft und Google vielleicht noch ein paar Antworten schuldig – es geht schließlich um unsere Kinder.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 18 2013

Geschlossene Plattformen zerstören Verbraucherrechte

Dieser Text von Michael McNeff (halfpricadigital.co.uk)erschien zu erst auf edri.org unter der Lizenz Creative Commons CC-BY. Übersetzt von Nicolas Fennen.

Können sie ihre gebrauchten Apps für iOS oder Android weiterverkaufen? Wie sieht es mit ihren Videospielen aus, die sie im Shop von Valves Spieleplattform Steam erworben haben?

Die Antwort lautet ja und nein. Rechtlich ist es ihnen erlaubt ihr Apps und bei Steam gekauften Spiele weiter zu verkaufen, wenn sie in der EU vermarktet wurden. In der Praxis jedoch verbieten die Anbieter wie Apples App Store oder Valves Steam Shop, die Lizenzen ihrer zuvor gekauften Software an andere Nutzer weiter zu geben, was es für Nutzer unmöglich macht ihre Apps und Spiele weiter zu verkaufen.

Nach dem Urteil des Europäischen Gerichtshofs im Fall UsedSoft gegen Oracle aus dem letzten Sommer, hat der Rechteinhaber die exklusiven Vermarktungsrechte abgegeben, wenn für eine Software gezahlt wurde und dem Nutzer damit eine Lizenz zur Nutzung der Software über unbegrenzte Zeit gewährt wurde. Selbst wenn das Lizenzabkommen einen Weiterverkauf verbietet, darf der Rechteinhaber einen Weiterverkauf nicht bekämpfen. Das trifft gleichermaßen auf erworbene Software auf physischen Medien (CD oder DVD) sowie auf heruntergeladene Software zu. Folglich sind Verbraucher in der EU rechtlich dazu berechtigt einen Großteil ihrer Apps und Spiele weiter zu verkaufen.

Geschlossene Plattformen wie Valves Steam verhindern den Weiterverkauf von Software aber dennoch auf zwei Wegen. Der erste ist durch restriktive Nutzungsbedingungen. So lauten beispielsweise die Lizenzvereinbarung im Steam Shop: „Die Software wird Ihnen in Lizenz überlassen und nicht an Sie veräußert. Die Ihnen eingeräumte Lizenz führt Ihrerseits nicht zum Erwerb von Eigentum oder sonstigen dinglichen Rechten an der Software.“ Dennoch, da der Verbraucher eine Gebühr für eine Lizenz auf unbegrenzte Dauer bezahlt hat, fallen Spiele die über den Steam Shop erworben werden klar unter das Urteil UsedSoft gegen Oracle und Valve kann einen Weiterverkauf nicht bekämpfen.

Die andere Weg auf dem geschlossene Systeme wie Steam den Weiterverkauf von Software durch die Verbraucher unterbinden ist, dass kein Mechanismus bereitgestellt, der es einem Nutzer von Steam erlaubt die Lizenz einer Software an einen anderen Nutzer von Steam zu übertragen. Der Wegfall eines so einfaches Mechanismuses macht es unmöglich für Nutzer von Steam, ihre unerwünschte Software zu verkaufen, da der Nutzer keine Möglichkeit hat den Verkauf abzuschließen, ohne die Lizenz der verkauften Software auf den Account des Käufers zu übertragen.

Da Verbraucher ihr unerwünschte Software, welche sie von geschlossenen Plattformen erworben haben, nicht verkaufen können, werden Second-Hand Märkte für gebrauchte Apps und Spiele von ihrer Bildung abgehalten, trotz der Tatsache, dass Vermarkter wie Valve die Vermarktungsrechte an der Software abgegeben haben und einem Weiterverkauf nicht entgegen treten können.

Durch den zunehmenden Verkauf von Software über Downloads, gewinnen geschlossenen Plattformen immer mehr an Popularität. Apple, Microsoft, Google und Valve vermarkten Software für ihre Plattformen alle über ihre eigenen geschlossenen Systeme. Die Inhaber dieser geschlossenen Systeme streichen bei jedem Verkauf von Software über ihre eigenen Shops eine Provision ein und die Entwickler der verkauften Anwendungen verlieren nicht länger Umsätze durch Verbraucher, die gebrauchte, billigere Kopien, anstatt neuer Kopien der Software, kaufen.

Verbraucher jedoch werden in ihren Rechten zum Weiterverkauf ihres digitalen Eigentums beschnitten und verlieren den Zugang zu sekundären Märkte, wo sie die selben Produkte zu niedrigeren Preisen erhalten würden. Da Software zunehmend über geschlossene Systeme vermarktet wird, müssen wir die Rechte der Verbraucher in Bezug auf den Besitz und der Weiterverkauf von Software schützen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 16 2013

Die Online-Werbeindustrie will Filesharing-Webseiten den Geldhahn zudrehen

Wer im Internet eine Webseite betreiben möchte und damit vielleicht auch noch ein wenig Geld verdienen möchte, ohne von den Nutzern direkt Geld zu verlangen, kommt um die Schaltung von Werbung kaum herum. Für viele Webseiten ist Werbung die einzige Möglichkeit der Finanzierung, besonders wenn mit den Inhalten der Webseite kein Umsatz erwirtschaftet werden kann. Ein Beispiel hierfür sind Filesharing-Webseiten, welche ihre Dienste kostenfrei anbieten und daher auf die Schaltung von Werbung angewiesen sind. Das hat anscheinend auch die amerikanische Regierung erkannt. Denn sie hat sich mit den größten Vertretern der Werbewirtschaft im Internet verbündet, mit dem Ziel keine Werbung mehr auf “illegalen” Webseiten zu schalten und diesen so den Geldhahn zu zudrehen.

Wie die Variety berichtet sind unter anderem Google, Microsoft und Yahoo an den Plänen beteiligt. Der Vorschlag sieht vor, dass die Urheberrechtsinhaber Beschwerden über Verstöße am Urheberrecht direkt an die Werbeunternehmen melden und diese daraufhin von der Schaltung von Werbung auf diesen Seiten absehen. Dieses soll dazu führen, den Webseiten ihre einzige Geldquelle abzuschneiden und sie damit zu zerschlagen. Victoria Espinel, die Beauftragte für die Durchsetzung der Rechte an immateriellen Gütern der amerikanischen Regierung, fand positive Worte für das Engagement der Privatwirtschaft:

The Administration strongly supports voluntary efforts by the private sector to reduce infringement and we welcome the initiative brought forward by the companies to establish industry-wide standards to combat online piracy and counterfeiting by reducing financial incentives associated with infringement, [...] We believe that this is a positive step and that such efforts can have a significant impact on reducing online piracy and counterfeiting.


Chris Dodd, Präsident der “Motion Picture Association of America” (MPAA), hingegen sieht die geplanten Maßnahmen als nicht umfassend genug an und fürchtet eine zu große Belastung für die Urheberrechtsinhaber:

[It's] an incremental step forward that addresses only a narrow subset of the problem and places a disproportionate amount of the burden on rights holders is not sufficient.

Nach Auskunft von Variety sind an diesem Vorstoß die Werbenetzwerke von 24/7 Media, Adtegrity, AOL, Condé Nast, Google, Microsoft, SpotXchange und Yahoo, mit Unterstützung des Interactive Advertising Bureaus, beteiligt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 21 2013

Netzpolitischer Wochenrückblick: KW 25

Die wichtigsten netzpolitischen Themen der Woche im Überblick:

  • Geheimdienst-Experte: Kanzleramt und Innenminister waren über NSA-Überwachung “sehr genau unterrichtet”

Bundeskanzleramt und Bundesinnenminister müssen von der massiven Internet-Überwachung der NSA gewusst haben. [Zum Artikel]

  • Britischer Nachrichtendienst soll Kommunikation ausländischer Politiker bei G20-Gipfel abgefangen haben

The Guardian berichtete am Sonntag, dass das britische Government Communications Headquarters (GCHQ), ein Nachrichten- und Sicherheitsdienst, beim G20-Gipfel 2009 in London die Telekommunikation der angereisten Teilnehmerinnen und Teilnehmer überwachte. [Zum Artikel]

  • PRISM: Facebook, Microsoft und Apple geben Zahlen zu NSA-Anfragen bekannt

Die drei amerikanischen Unternehmen Facebook, Microsoft und Apple haben in den letzten Tagen erste Zahlen veröffentlicht, wie viele Anfragen sie von amerikanischen Behörden, darunter der NSA, erhalten haben, um Daten an diese zu liefern. [Zum Artikel]

  • NSA-Chef möchte Immunität für Unternehmen die ihnen Daten bereitstellen

Der Direktor der NSA Keith Alexander steht zur Zeit bereits wegen der Spionagetätigkeiten rund um PRISM in der Kritik. Und sein neuester Vorstoß wird sicherlich zumindest auf Seiten von Netzaktivisten und Datenschützern nicht positiv aufgenommen werden. [Zum Artikel]

  • USA und Russland wollen Informationen über Hacker-Angriffe teilen

Das Rote Telefon war eine ständige Fernschreiberverbindung zwischen der Sowjetunion und den USA und wurde aufgrund der Erfahrungen aus der Kubakrise 1962 eingerichtet – es sollte Missverständnisse verhindern, die schlimmstenfalls einen Atomkrieg hätten auslösen können. Nun soll das Rote Telefon zu einem weiteren Zweck genutzt werden: [Zum Artikel]

  • Neue Dokumente beweisen: Auslandsgeheimdienste wie die NSA können nicht demokratisch kontrolliert werden

Die NSA überwacht und speichert die weltweite Kommunikation ganz ohne echte richterliche oder gar öffentliche Kontrolle. [Zum Artikel]

  • Aaron’s Law: Reform des Computer Fraud and Abuse Acts

Der Netzaktivist Aaron Swartz hat sich Anfang des Jahres das Leben genommen. [Zum Artikel]

  • Viele Baustellen im Transatlantischen Freihandelsabkommen TAFTA: Auch Big Data und Zugriff durch die NSA

Am Donnerstag brichteten wir über das Wechselspiel von Technologie-Firmen im Silicon Valley und amerikanischen Geheimdiensten. Denn das Silicon Valley hat genau das, was NSA, FBI und CIA brauchen: Zugang zu möglichst vielen Daten. [Zum Artikel]

  • USA: Google, Microsoft und Facebook bezahlen Internetprovider für schnelleren Internetzugang

Das Thema Netzneutralität ist keineswegs neu und doch ist es in Deutschland zur Zeit heiß diskutiert. [Zum Artikel]

  • Erschreckende Statistik: Geheimdienste und Polizei nutzen Stasi-Akten, auch amerikanische Behörden wie die NSA

Verschiedene Geheimdienste aus Deutschland und der ganzen Welt haben Stasi-Unterlagen angefordert und verwendet. [Zum Artikel]

  • Texas: Polizei braucht richterliche Anordnung um Mails zu überwachen

n Texas wurde nun das Gesetz HB 2268 erlassen, demnach dürfen Strafverfolgungsbehörden nicht mehr ohne richterliche Anordnung auf Mails zugreifen und diese überwachen. [Zum Artikel]

  • Türkei: Justiz durchsucht rückwirkend soziale Netzwerke nach Straftaten

In den letzten Tagen kam es immer wieder zu landesweiten Razzien in der Türkei bei denen mehr als 100 Personen festgenommen wurden, wie beispielsweise die tageschau berichtet. [Zum Artikel]

  • Metrolaut-Spezial aus Istanbul

Der Metronaut ist derzeit in Istanbul und berichtet von den Protesten dort, u.a. im Podcastformat “Metrolaut” von John F. Nebel und Kalle Kornblum. [Zum Artikel]

  • UK: Internetprovider führen Pornographiefilter für alle Anschlüsse ein

Ab 2014 sollen alle Internetanschlüsse in Großbritannien mit voreingestelltem Pornographiefilter bereitgestellt werden. [Zum Artikel]

  • Vietnam: Dritter regimekritischer Blogger innerhalb eines Monats verhaftet

Nachdem Ende Mai Truong Duy Nhat wegen “Missbrauch demokratischer Freiheiten gegen das Staatsinteresse” in Vietnam verhaftet wurde und letzte Woche Pham Viet Dao, dem der gleiche Vorwurf gemacht wird, wurde nun ein dritter Blogger verhaftet, Dinh Nhat Uy. [Zum Artikel]

  • RAP NEWS 19: Whistleblower featuring Edward Snowden

Rap News haben in Folge 19 den Prism-Skandal aufgearbeitet:

Habt ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 14 2013

PRISM: Google und Microsoft liefern deutschen Ministerien “mehr offene Fragen als Antworten”

Die Firmen, auf deren Rechner der amerikanische Geheimdienst PRISM “direkten Zugriff” hatte, wussten davon nichts. Das gaben deutsche Vertreter von Google und Microsoft auf einem “Krisengespäch” von Justiz- und Wirtschafts-Ministerien an. Auch das Innenministerium hat Fragen an die Firmen und schickt einen Brief.

Die FDP-geführten Justiz- und Wirtschafts-Ministerien haben heute ein “Krisengespäch zur Sicherheit von Daten deutscher Nutzer in den USA” veranstaltet. Justizministerin Sabine Leutheusser-Schnarrenberger und Wirtschaftsminister Philipp Rösler wollten von Google, Microsoft, eco und Bitkom wissen, was PRISM ist und wer davon betroffen ist. Das wenig überraschende Ergebnis:

„Es hat keine konkreten Antworten unserer jetzt hier anwesenden Gesprächspartner über das Programm PRISM gegeben, weil sie davon nicht Kenntnis hatten”, sagte Justizministerin Sabine Leutheusser-Schnarrenberger im Anschluss an das Treffen. Somit bleiben „mehr offene Fragen als Antworten“, stellte der Parlamentarische Staatssekretär Hans-Joachim Otto fest.

Stefan Krempl berichtet auf heise online, dass die Firmen “total überrascht” waren.

Das CSU-geführte Innenministerium hat am Dienstag zwei Briefe an die amerikanische Botschaft und die beteiligten Firmen geschickt, in denen sie mal offiziel anfragen, wie viele Deutsche von PRISM betroffen sind:

Schreiben an Yahoo, Microsoft, Google, Facebook, Skype, AOL, Apple und Youtube

1. Arbeitet Ihr Unternehmen mit den US-Behörden im Zusammenhang mit dem Programm PRISM zusammen?
2. Sind im Rahmen dieser Zusammenarbeit auch Daten deutscher Nutzer betroffen?
3. Welche Kategorien von Daten werden den US-Behörden zur Verfügung gestellt?
4. In welcher Jurisdiktion befinden sich die dabei involvierten Server?
5. In welcher Form erfolgt die Übermittlung der Daten an die US-Behörden?
6. Auf welcher Rechtsgrundlage erfolgt die Übermittlung der Daten deutscher Nutzer an die US-Behörden?
7. Gab es Fälle, in denen Ihr Unternehmen die Übermittlung von Daten deutscher Nutzer abgelehnt hat? Wenn ja, aus welchen Gründen?
8. Laut Medienberichten sind außerdem sog. “Special Requests” Bestandteil der Anfragen der US-Sicherheitsbehörden. Wurden solche, deutsche Nutzer betreffende “Special Requests” an Ihr Unternehmen gerichtet und wenn ja, was war deren Gegenstand?

Schreiben an die US-Botschaft

1. Betreiben US-Behörden ein Programm oder Computersystem mit dem Namen PRISM oder vergleichbare Programme oder Systeme?
2. Welche Datenarten (Bestandsdaten, Verbindungsdaten, Inhaltsdaten) werden durch PRISM oder vergleichbare Programme erhoben oder verarbeitet?
3. Werden ausschließlich personenbezogene Daten von nicht US-amerikanischen Telekommunikationsteilnehmern erhoben oder verarbeitet bzw. werden auch personenbezogene Daten US-amerikanischer Telekommunikationsteilnehmer erhoben oder verarbeitet, die mit deutschen Anschlüssen kommunizieren?

Bezug nach Deutschland

4. Werden mit PRISM oder vergleichbaren Programmen personenbezogene Daten deutscher Staatsangehöriger oder sich in Deutschland aufhaltender Personen erhoben oder verarbeitet?
5. Werden Daten mit PRISM oder vergleichbaren Programmen auch auf deutschem Boden erhoben oder verarbeitet?
6. Werden Daten von Unternehmen mit Sitz in Deutschland für PRISM oder von vergleichbaren Programmen erhoben oder verarbeitet?
7. Werden Daten von Tochterunternehmen US-amerikanischer Unternehmen mit Sitz in Deutschland für PRISM oder von vergleichbaren Programmen erhoben oder verarbeitet?
8. Gibt es Absprachen mit Unternehmen mit Sitz in Deutschland, dass diese Daten für PRISM zur Verfügung stellen? Falls ja, inwieweit sind Daten von Unternehmen mit Sitz in Deutschland im Rahmen von PRISM oder vergleichbaren Programmen an US-Behörden übermittelt worden?
9. Auf welcher Grundlage im US-amerikanischen Recht basiert die im Rahmen von PRISM oder vergleichbaren Programmen erfolgende Erhebung und Verarbeitung von Daten?
10. Geschieht die Erhebung und Nutzung personenbezogener Daten im Rahmen von PRISM oder vergleichbaren Programmen aufgrund richterlicher Anordnung?
11. Welche Rechtsschutzmöglichkeiten haben Deutsche, deren personenbezogene Daten im Rahmen von PRISM oder vergleichbarer Programme erhoben oder verarbeitet worden sind?

Boundless Informant

12. Betreiben US-Behörden ein Analyseverfahren “Boundless Informant” oder vergleichbare Analyseverfahren?
13. Welche Kommunikationsdaten werden von “Boundless Informant” oder vergleichbaren Analyseverfahren verarbeitet?
14. Welche Analysen werden von “Boundless Informant” oder vergleichbaren Analy-severfahren ermöglicht?
15. Werden durch “Boundless Informant” oder vergleichbare Analyseverfahren personenbezogene Daten von deutschen Grundrechtsträgern erhoben oder verarbeitet?
16. Werden durch “Boundless Informant” oder vergleichbare Analyseverfahren personenbezogene Daten in Deutschland erhoben oder verarbeitet?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 12 2013

Google will Zahlen zu Anfragen der NSA veröffentlichen dürfen

Anfang Juni wurde eine Beschwerde von Google angelehnt, 19 sogenannte National Security Letter (NSL) nicht beantworten zu wollen bzw modifizieren zu können. Mithilfe der NSL kann das FBI ohne richterlichen Beschluss Zugriff auf Kundendaten fordern und die betroffenen Unternehmen dürfen nicht darüber berichten. Gestern veröffentlichte Google einen offenen Brief an Justizminister Eric Holder sowie den Direktor des FBI, Robert Mueller. Darin fordert David Drummond, Leiter der Rechtsabteilung von Google, dass es dem Konzern erlaubt sein sollte in seinen Transparenzberichten aggregierte Zahlen über NSL sowie Anfragen nach dem Foreign Intelligence Surveillance Act (FISA) veröffentlichen zu dürfen. Eine Veröffentlichung würde zeigen, dass Google auf weitaus weniger Anfragen eingeht als gestellt werden: “Transparency here will likewise serve the public interest without harming national security.”

Auch Facebook und Microsoft unterstützen die Forderungen von Google, Facebook ruft alle Regierungen dazu auf, Programme zum Schutz der Gesellschaft transparenter zu machen.

We would welcome the opportunity to provide a transparency report that allows us to share with those who use Facebook around the world a complete picture of the government requests we receive, and how we respond. We urge the United States government to help make that possible by allowing companies to include information about the size and scope of national security requests we receive, and look forward to publishing a report that includes that information.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 23 2013

ENDitorial: Die European Privacy Association – gut, böse oder einfach nur falsch verstanden?

Dieser Text von Joe McNamee erschien zuerst auf englisch im aktuellen EDRIgram und wurde unter der CC-BY-Lizenz veröffentlicht. Übersetzung von Nicolas Fennen.

Nachdem die European Privacy Association (EPA) dabei erwischt wurde, die Regeln des europäischen Transparenzregisters missachtet zu haben, versuchte sie sich nun zu verteidigen. In einem Artikel welcher bei der International Data Group (IDG) veröffentlicht wurde, werden Google, Microsoft und Yahoo als die „geheimen Hintermänner“ der Organisation beschrieben. Zu ihrer Verteidigung erklärt die EPA, dass sie nur eine „kleine Organsisation“ mit einem Budget von 50.000 bis 100.000 Euro sei. Darüber hinaus erklärt sie, sei sie „primär“ eine Freiwilligenorgansisation.

Immerhin, als „kleine Organisation“ hat die EPA große Unternehmen an ihrer Seite, welche ihr mindestens 10.000 Euro pro Monat zahlen. Dieses Geld wird größtenteils verwendet um sich die Dienste eines ehemaligen Mitglieds des Europäischen Parlaments und die eines italienischen Lobbyunternehmens (Competere) zu sichern. Das Personal des Lobbyunternehmens überschneidet sich dabei mit dem der DCI Group, einer amerikanischen Lobbyorganisation. Wie der Website der DCI Group zu entnehmen ist, gehört es zu ihrem Fachgebiet, mit Hilfe von „Drittunternehmen“ Probleme „neu auszurichten“ und sie in „vorteilhafteren Begrifflichkeiten“ darzustellen. Das klingt mehr als ein bisschen nach der European Privacy Association.

Als „kleine Organsisation“, welche die Dienste von Competere und der DCI Group in Anspruch genommen hat, hat es die EPA geschafft eine beeindruckende Anzahl an exklusiven Essen im Europäischen Parlament zu veranstalten. Alleine dieses Jahr: – 21. Januar: Essen mit dem konservativen (EVP) Parlamentarier Sean Kelly zur Selbstdarstellung; – 20 February 2013: Essen mit der konservativen (EVP) Parlamentarierin Lara Comi zum Datenaustausch in der Cloud; – 16 March 2013: Frühstück mit den konservativen (EPVP) Parlamentarier Axel Voss zum Datenaustausch mit Drittländern; – 11 April 2013: Frühstück mit dem Parlamentarier der Grünen Jan-Philipp Albrecht um Einigungen zu erzielen.

Die Unternehmen, welche hinter der EPA stehen, scheinen es außerdem zu einer Angewohnheit gemacht zu haben, aus versehen die Weitergabe aller relevanten Daten an das europäische Transparenzregister zu vergessen. Einzig letztes Jahr wurde eine E-Mail von der “Initiative for a Competitive Marketplace” (iCOMP) an Mitglieder des Europäischen Parlaments gesendet, welche eine Nummer des Transparenzregisters enthielt. Allerdings war die enthaltende Nummer nicht die der iCOMP , sondern die des Lobbyunternehmens Burston Marsteller, dessen Eintrag im Transparenzregister keinerlei Verweise zur iCOMP enthielt. In Wahrheit war Microsoft dabei behilflich iCOMP einzusetzen – Burston Marsteller repräsentiert unter anderem Microsoft. Die Folge einer Beschwerde beim Transparenzregister war, das einige Änderungen gemacht wurden, welche das Sekretariat des Transparenzregisters zufriedenstellte. Es wurden jedoch keinerlei Strafen gegen die beteiligten Unternehmen verhängt.

Microsoft unterstützt Anti-Google Organsisation seit 2007

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Operation Aurora: Chinesische Hack-Angriffe auf Google galten nicht nur Aktivisten, sondern der Unterstützung von Spionen

Google China Beijing. Autor: Fan Yang. Creative Commons: BY-SA 3.0.

Google China Beijing. Autor: Fan Yang. Creative Commons: BY-SA 3.0.

Die Hack-Angriffe auf Google und andere Firmen im Jahr 2009 sollten wohl herausfinden, welche chinesischen Spione von den USA beobachtet werden. Das berichten ein Mitarbeiter von Microsoft sowie aktuelle und ehemalige Regierungsbeamte. Google hatte nach der “Operation Aurora” den chinesischen Markt verlassen – angeblich weil Menschenrechtsaktivisten ausgespäht wurden.

Im Januar 2010 kündigte Google einen “neuen Ansatz für China” an, das zunächst als Rückzug aus dem Reich der Mitte gewertet wurde. Vorausgegangen waren intensive digitale Spionage-Angriffe aus China, die den Namen Operation Aurora erhielten. Im Firmen-Bog erklärte Google damals, dass “ein primäres Ziel der Angreifer der Zugriff auf die Gmail-Konten von chinesischen Menschenrechtsaktivisten” war.

Das war wohl nicht die ganze Wahrheit. Letzten Monat sagte Dave Aucsmith vom Microsoft Institute for Advanced Technology in Governments, dass auch Microsoft von den Angriffen betroffen war. Statt “normalen” Aktivisten waren die Angreifer “auf der Suche nach den Konten, für die wir rechtliche Anordnungen zum Abhören hatten”.

Das bestätigten jetzt “aktuelle und ehemalige Regierungsbeamte” der Washington Post:

Als Google den Angriff untersuchte, machten die Techniker eine überraschende Entdeckung: die Datenbank mit jahrelangen Informationen über staatliche Überwachungsbeschlüsse wurde gehackt.
Die Datenbank enthielt Informationen über Tausende von Überwachnungs-Beschlüssen durch Gerichte im ganzen Land, die Strafverfolgungsbehörden erlauben, die E-Mails von Verdächtige zu überwachen.

Die sensibelsten Anordnungen kamen jedoch von einem Bundesgericht, das die Überwachung von ausländischen Zielen wie Spionen, Diplomaten, mutmaßlichen Terroristen und Agenten anderer Regierungen genehmigt. Diese Aufträge, unter dem Gesetz zum Abhören in der Auslandsaufklärung (FISA) ausgestellt werden, sind geheim.

Mit diesen Informationen kann ein Staat seine Agenten warnen, Informationen löschen und Menschen außerhalb des Landes bringen, so ein Beamter gegenüber der Washington Post. Auch Aucsmith analysiert:

Das ist brilliante Spionageabwehr. Wenn man herausfinden will, ob ihre Spione entdeckt wurden sind, haben sie zwei Möglichkeiten: Sie können versuchen, beim FBI einzubrechen und die Informationen da zu finden. Vermutlich das ist schwierig. Oder sie infiltieren die Personen, für die Gerichte Überwachungsanordnungen beschlossen haben und versuchen, die Informationen auf diese Weise finden. Wir denken, sie haben letzteres getan, zumindest in [Microsofts] Fall.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Neue Erkenntnisse zu Skypes Chat-Überwachung

Am vergangenen Montag berichteten wir darüber, dass Skype Nachrichten aus dem Chat mitliest, wie heise security herausgefunden hatte. Heute veröffentliche heise security einen weiteren Artikel zu dem Thema, in welchem die Erkenntnisse aus den letzten Tagen noch ein zusammengefasst werden.

So präsentiert heise security gleich zu Beginn die Fakten:

Wir beobachteten ausschließlich Zugriffe auf https-URLs. Dabei nutzte Microsoft alle übertragenen Informationen – einschließlich der häufig in https-URLs enthaltenen Session-IDs oder Benutzerkennungen. Die Zugriffe erfolgen via HEAD-Request, fragen also lediglich Verwaltungsinformationen ab, nicht jedoch die Inhalte der Seiten.

Neu ist hingegen, dass anscheinend auch http-URLs abgerufen wurden, auch wenn heise security dieses Verhalten selbst nicht beobachten konnte:

Auch wenn wir keine Zugriffe auf die ebenfalls verschickten, ungesicherten http-URLs registrierten, liegen mittlerweile glaubwürdige Berichte vor, dass Microsoft diese in manchen Fällen ebenfalls abruft.


Es stehe allerdings immer noch die Frage im Raum, wozu die URLs überhaupt abgerufen werden. Am wahrscheinlichsten sei immer noch ein Zusammenhang zu einer Schutzfunktion, wie sie beispielsweise Microsofts SmartScreenFilter darstellt. Es gebe jedoch weiterhin eine Reihe von Ungereimtheiten:

Das beginnt mit der Frage, warum der Test nicht unverzüglich sondern mit einem zeitlichen Versatz von mehreren Stunden stattfindet. Bei einer aktiven Spam- oder Phishing-Kampagne ist Zeit ein kritischer Faktor; ein Test von mehreren Stunden alten URLs hat bestenfalls noch dokumentarischen Charakter.

Auch sei es nicht möglich nur durch das abrufen von HEAD-Request, also ohne den Inhalt der Seite zu kennen, eine Webseite auf ihr Sicherheitsrisiko hin zu bewerten:

Als nächstes stellt sich die Frage, wie Microsoft die Seiten bewerten will, ohne den Inhalt zu kennen. Die Verweise auf eine Reputationsdatenbank sind nicht stichhaltig, wenn für die Seiten – wie bei den speziell für den Test erstellten URLs – bislang keinerlei Referenzdaten vorliegen können. Auch der Hinweis, dass es nur darum ginge, mit dem HEAD-Request eventuelle Weiterleitungen auf bekanntermaßen bösartige Seiten zu entdecken, kann nicht überzeugen. Denn zum einen kann eine solche Weiterleitung auch im nicht abgerufenen HTML-Code erfolgen (meta http-equiv=”refresh”). Und zum anderen binden viele Web-Seiten den eigentlichen Schadcode etwa über iFrame-Tags ein – ebenfalls in den HEAD-Daten nicht sichtbar.

Und so kommt heise security zu dem abschließenden Ergebnisse, dass es sich zwar sehr wahrscheinlich um eine Schutzfunktion handele:

Doch wenn es so ist, ist diese wenig durchdacht.

Die positive Nachricht ist, dass heise security bei den letzten Tests keine Abrufe der URLs mehr feststellen konnte, Microsoft die Funktion also anscheinend mindestens vorübergehend deaktiviert hat. Und auch der Test anderer Chats verlief ereignislos:

Unsere analogen Tests mit den Chats von Google, Facebook und ICQ erbrachten übrigens keine Ergebnisse – sprich: es erfolgten keine Zugriffe auf die speziellen URLs, die wir dort verschickten.

Es bleibt also zu hoffen, dass Microsoft aus der Berichterstattung gelernt hat. Also entweder das Abrufen von URLs unterlässt oder zumindest eine Erklärung für das Abrufen liefert. Und sollte es sich tatsächlich um einen Schutzmechanismus handeln, muss erstens der Nutzer darüber informiert werden und zweitens muss der Nutzer die Möglichkeit haben, eine solche Schutzfunktion abstellen zu können.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted byurfintowserlolufoflopsboxKingBalancerunnerle

March 26 2013

Hamburger Polizei und Geheimdienst nutzen bei Ermittlungen immer öfter Soziale Netzwerke – vielleicht bald mit spezieller Software

Die Hamburger Polizei und der Verfassungschutz nutzen für ihre Ermittlungen zunehmend Soziale Netzwerke. Dies teilte der Senat jetzt auf eine Anfrage der Linksfraktion mit. Die Fragestellerin hatte sich nach behördlichen Streifengängen bei Facebook, LinkedIn, MySpace, Twitter oder StudiVZ erkundigt.

Die Initiative ist der Versuch, eine ähnliche Anfrage im Bundestag nun auch auf Landesebene nachvollziehbar zu machen. Ausgangspunkt war ein Aufsatz in der Zeitschrift “Kriminalistik” von 2010, nachgedruckt in der Zeitschrift der “Gewerkschaft” der Polizei (GdP). Zwei Polizeidozenten illustrieren dort, dass soziale Netzwerke “wahre Fundgruben” für Ermittlungs- und Fahndungszwecke sind. Die Autoren analysieren, dass eine ganze Reihe realer polizeilicher “Lagen” auch im Internet abgebildet werden bzw. dort recherchiert werden können. Nützlich seien sie überdies für “präventionspolizeiliche Maßnahmen”, also die vorausschauende “Gefahrenabwehr”.

Der Hamburger Senat bestätigt das. Adressiert wird demnach ein weites Feld von “extremistische[n] und terroristische[n] Gruppen im In- und Ausland”. Eine entsprechende Abfrage Sozialer Netzwerke scheint für den Verfassungsschutz mittlerweile die Regel zu sein. Der Geheimdienst wird offensichtlich nicht nur bei konkreten Ermittlungen aktiv:

Ganz allgemein [sic!] werden im Rahmen der Informationsgewinnung zu Ermittlungszwecken Recherchen im Internet zu Personen, Personengruppen oder Organisationen auch in sozialen Netzwerken durchgeführt. [...] Es handelt sich um offene und (auch technisch) verdeckte Informationserhebungen zum Zweck themenspezifischer Aufklärung von Bestrebungen im Sinne des § 4 HmbVerfSchG sowie anlässlich entsprechender Identitätsermittlungen.

Weitere Einzelheiten zu den digitalen Ermittlungen des Inlandsgeheimdienstes möchte der Senat aber nicht machen und verweist auf den für die parlamentarische Kontrolle des Verfassungsschutzes zuständigen Kontrollausschuss. Eine derartige Aufsicht ist tatsächlich vonnöten, denn die Schnüffler geben “zum Zweck der Strafverfolgung oder der Gefahrenabwehr” Daten auch an polizeiliche Dienststellen weiter.

Auf die Frage nach der Rechtsgrundlage für “virtuelle ErmittlerInnen”, die sich mit falscher Identität in Sozialen Netzwerken anmelden, beruft sich Hamburg auf das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, das damals ein “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” betonte. Nach Hamburger Auslegung darf die Polizei

  • sich zur Aufgabenerfüllung der allgemein zugänglichen Quellen im Netz bedienen
  • sich unter Angabe eines Pseudonyms anmelden, ohne dafür die wahre Identität preisgeben zu müssen
  • sich der von Kommunikationsbeteiligten (z.B. Hinweisgebern, Geschädigten) überlassenen Zugangsdaten bedienen, um damit beispielsweise an geschlossenen Benutzergruppen teilnehmen zu können
  • auch über einen längeren Zeitraum an Kommunikationsbeziehungen (z.B. in Foren) teilnehmen

Zahlen zu den Internetermittlungen nennt der Senat nicht, da keine Statistiken geführt würden. Mitgeteilt wird aber, dass “virtuelle ErmittlerInnen” nicht zu Straftaten aufrufen dürfen. Auch das Verfassen von Texten bzw. das Weitergeben von Dateien mit strafbarem Inhalt ist verboten. Das Gleiche gilt für sogenannte “Honeypots”, mit denen das Bundeskriminalamt InternetnutzerInnen ausforschte, die sich für Ermittlungen gegen die „militante gruppe” interessierten. Auch seien “keine Fälle bekannt”, in denen Hamburger Sicherheitsbehörden im Zuge von Ermittlungen selbst Webseiten oder Blogs angelegt hätten. Die Ermittlungsarbeit beim Verfassungsschutz würden aber “besonders geschulte Mitarbeiterinnen und Mitarbeiter” übernehmen. Das mag übertrieben sein: Als der Verfassungsschutz Stuttgart 2008 anlässlich der Beobachtung der Anti-NATO-Proteste sein neues “Internetkompetenzzentrum” (IKZ) in Betrieb nahm, waren auf einem Foto der Lokalzeitung nicht nur Nacktfotos im Büro zu erkennen, sondern auch ein Leitz-Ordner mit der Aufschrift “IKZ Bedienungsanleitung”.

Bislang kommt in Hamburg noch keine Software zu Onlineermittlungen oder zur präventiven “Aufhellung” zur Anwendung. Die zuständige Behörde kündigt aber “zur Aufklärung von verfassungsrelevanten Bestrebungen oder schweren Straftaten” eine eventuelle Beschaffung vorsorglich an.

Bislang nutzt die Hamburger Polizei Soziale Netzwerke auch zur “Gefahrenabwehr bei Vermisstenvorgängen”. Ob sich Polizei und Verfassungsschutz von Anbietern sozialer Netzwerke Zugang zu nichtöffentlichen Profilen bzw. Nachrichten geben lassen, wird lediglich für die Polizei bejaht. Weitere Auskunft wird nicht gegeben, da die Frage “kriminaltaktische Belange” berühren würde, “zu denen der Senat grundsätzlich keine Auskunft erteilt”.

Geprüft wird nun, ob Hamburg wie die Polizeidirektion Hannover (Facebook!) in Sozialen Netzwerken “mit eigenen Auftritten präsent sein sollte”. Die Behörden wollen hierfür aber zunächst “Chancen und Risiken” analysieren und eine “Aufwandsberechnung” abwarten.

Um die polizeiliche Präsenz im Internet auszubauen, lädt die Microsoft Niederlassung Köln für den 11. April zum “Microsoft Polizeisymposium 2013″. Die Veranstaltung richtet sich an “Entscheidungsträger der Polizei und Sicherheitsbehörden”, die sich “über neueste Technologien aus den Bereichen Cyber-Crime, Security und Social-Media” informieren sollen. Themen sind neben Cloud Computing im allgemeinen auch die Einrichtung einer “Polizei-Cloud”.

Weil die behördliche Butterfahrt nach Köln nicht ohne Werbung auskommt, wird die Firma StarLIMS als Höhepunkt ihre “Forensik & Crime Scene Windows 8 App” vorstellen. Danach folgen drei Microsoft-Präsentationen über “Fusion-Center”, “Big Data bei der Polizei” und “Kinect im Polizeieinsatz”.

flattr this!

July 20 2012

SkyDrive: Microsoft durchsucht Nutzer-Daten in der Cloud nach AGB-Verletzungen und sperrt Accounts (Update)

Cloud und SchriftMicrosoft hat mehreren Kunden den diensteübergreifenden Account “Windows Live ID” gesperrt. Sie hatten auf dem Filehosting-Dienst SkyDrive private Dateien gespeichert, die gegen Microsofts AGB verstoßen. Damit gehen auch E-Mails von Hotmail verloren.

Auch Microsoft pflegt die Unsitte der großen Smartphone-Hersteller, die Features des Geräts nur mit einem personifizierten Account möglich zu machen. Bei Windows Phone heißt das Windows Live ID. Damit geht dann der Marketplace für Apps, aber auch E-Mail via Hotmail und Datenspeicher in der Cloud via SkyDrive.

In den AGB behält sich Microsoft vor, diesen Account “jederzeit unangekündigt und ohne Angabe von Gründen zu kündigen oder zu sperren”. Das ist jetzt wiederholt passiert, weil Menschen “unzulässige” Daten auf die Microsoft-Server geladen haben. Der Abschnitt “Unzulässige Verhaltensweisen” ist der längste der AGB, darunter:

  • Nacktaufnahmen, einschließlich vollständiger oder teilweiser Nacktaufnahmen von Menschen oder in Cartoons, Science Fiction oder Manga.
  • Irreführende Angaben über die Quelle dessen machen, was Sie bereitstellen oder hochladen, einschließlich der Annahme der Identität einer anderen natürlichen oder juristischen Person.
  • Links zu externen Websites bereitstellen oder erstellen, die gegen diesen Verhaltenskodex verstoßen.
  • Personenbezogene Informationen von Minderjährigen (Personen unter 18 Jahren) abrufen oder sammeln, einschließlich, aber nicht beschränkt auf: Name, E-Mail-Adresse, Privatadresse, Telefonnummer oder den Namen ihrer Schule.
  • Anstiften zum Kauf und Verkauf von Munition und Feuerwaffen.
  • Von Ihnen bereitgestellte oder hochgeladene Inhalte mit falscher Darstellung oder Inhalte, die dieselben oder ähnliche Inhalte wie schon bereitgestellte Inhalte beinhalten.
  • Bereitstellung von Inhalten, die Werbung für Geldbeschaffungsmethoden, Rabattkarten, Kreditberatung, Onlineumfragen oder Onlinegewinnspiele beinhalten.

Irgendeiner dieser Punkte ist jetzt dem Niederländer WingsOfFury zum Verhängnis geworden. Er hatte neun Gigabyte Daten in einem privaten Ordner auf SkyDrive. Microsoft sperrte seinen Account. (Die selben Daten hatte er auch auf Dropbox, da passierte nichts).

Letztes Jahr traf es den Fotograf Dirk Salm aus Aachen. Auch ihm wurde der Account gesperrt, weil er künstlerische Teil-Akt-Bilder aus dem Studio (“Da sieht man ja schon im Nachmittagsfernsehen mehr Haut.”) auf dem Dienst gebackupt hat.

Schlimmer: Er hielt die Daten für privat, aber Microsoft hat sie trotzdem durchleuchtet:

Doch mehr noch als die für ihn schwer nachvollziehbare Begründung ärgert ihn, dass Inhalte, die er für privat und geheim gehalten hatte, offenbar kontrolliert und untersucht werden. Salm, der als Fotojournalist auch für unseren Verlag tätig ist, fühlt sich als gläserner Kunde. Und fragt: «Wie sicher sind denn meine sonstigen Daten bei Microsoft?» Er sieht seine journalistischen Kontakte, Termine, Telefonnummern und Fotos in Gefahr, von Firmenmitarbeitern ausgelesen zu werden.

Dürfen Cloud-Anbieter die Daten ihrer Nutzer überhaupt durchsuchen? Erst gestern berichteten wir, dass das oberste Gericht Frankreichs das zur Verhinderung von Urheberrechtsverletzungen verneint. Michaela Zinke vom Verbraucherzentrale Bundesverband sieht das differenzierter: “Wir gehen davon aus, dass nach deutschem oder europäischem Recht Cloud-Anbieter die Daten ihrer Nutzer nicht durchsuchen dürfen. Anders sieht das jedoch aus, wenn die Nutzer dem zustimmen.”

Womit wir wieder am Anfang wären: Eine echte Wahl hat man nicht.

Update: SkyDrive soll übrigens per default mit Windows 8 ausgeliefert werden.

flattr this!

March 26 2012

Microsofts Messenger blockiert Piratebay-URLs

Wie Torrentfreak am Samstag berichtete, blockiert Microsofts Instant-Messanging-Programm “Windows Live Messenger” sämtliche URLs, die auf die schwedische BitTorrent-Suchmaschine “The Pirate Bay” verweisen. Ein Grund, warum die Nachricht nicht übermittelt werden kann, wird nicht genannt.

Es steht allerdings zu vermuten, dass im Zuge der “freiwilligen Kooperation” zwischen Urheberrechts-Verwertern und Internet-Diensteanbietern, die unter anderem vom umstrittenen ACTA-Abkommen empfohlen wird, eine Blockade der vermeintlich schädlichen Inhalte vorgenommen wird. Dies ist vor allem deswegen kritisch zu beurteilen, da auf The Pirate Bay keineswegs nur illegale Inhalte gesucht werden können. Auch Inhalte von Netzpolitik.org, die via bitTorrent veröffentlicht wurden, werden nun blockiert.

Im Selbstversuch (Dank an Claude) konnten wir die Blockade auch in Deutschland nachvollziehen. Eine Stellungnahme des US-Unternehmens ist laut Aussagen eines Sprechers der deutschen Microsoft-Niederlassung aufgrund der Zeitverschiebung nicht vor dem Abend zu erwarten.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl