15.08.2011 | Tipps
Im Vorfeld waren die meisten von der Idee begeistert, eine Alternative zu Wikileaks auf die Beine zu stellen, die noch offener ist und mehr Sicherheit bietet. OpenLeaks sollte letzte Woche starten. Medienpartner wie die TAZ sollten die Möglichkeit haben, mit OpenLeaks eigene Portale für Whistleblower auf die Beine zu stellen. Es stecken wirklich gute Ideen drin, in OpenLeaks.
Doch nun wollen ausgerechnet die Leute, von denen man am ehesten erwarten würde, dass sie Feuer und Flamme für OpenLeaks sind, mit der neuen Plattform nichts zu tun haben. Und das ist in einer Person begründet: Daniel Domscheit-Berg. Der frühere deutsche „Sprecher“ von Wikileaks hatte sich vor einigen Monaten von Wikileaks gelöst und ein neues Projekt angekündigt. Das ist mit OpenLeaks auch gekommen. Doch nun hat Domscheit-Berg versucht, den Chaos Computer Club (CCC) für das Projekt zu vereinnahmen, hat den Eindruck erweckt, als hätten die Fachleute bei ihrem jüngsten Treffen OpenLeaks auf Herz und Nieren geprüft – was sich gut anhört, aber nicht stimmt.
Darüber sind viele CCC-Mitglieder derart sauer, dass sie nun nicht nur gegen Domscheit-Berg schießen, sondern auch gegen sein Projekt. Mittlerweile weiß die ganze Welt: Der CCC hat OpenLeaks weder offiziell getestet, noch gibt es ein CCC-Approved-Gütesiegel, noch ist man auch nur über die Idee erfreut.
Ich finde: Verständlich. So etwas muss man im Vorfeld absprechen, sonst geht es nach hinten los, wie man an diesem Beispiel eindrucksvoll sehen kann.
https://www.openleaks.org
22.09.2010 | Tipps
Der neue Personalausweis: Eigentlich soll er fälschungs- und knacksicher sein, uns also mehr Sicherheit bringen – und auch Komfort. Denn mit dem neuen Personalausweis wird man sich auch im Internet ausweisen können. Ein entsprechendes Lesegerät vorausgesetzt – natürlich auch alles sicher, angeblich.
Doch das sieht der Chaos Computer Club anders. Die Hackexperten des CCC machen erneut auf ein Sicherheitsproblem aufmerksam. Ein durchaus ernsthaftes Problem. Denn wer seinen neuen, maschinenlesbaren Personalausweis benutzt, um sich zum Beispiel im Internet zu identifizieren, muss den Personalausweis durch ein Lesegerät ziehen und anschließend eine PIN eingeben, so ähnlich wie bei der EC-Karte.
Genau dieser Vorgang ist der neuralgische Punkt: Die Eingabe der PIN kann abgehört werden – am PC. Denn nicht das Lesegerät fragt die PIN ab, sondern eine Software oder Webseite im Computer. Und da können zum Beispiel über das Internet unbemerkt auf den eigenen Rechner eingeschleuste Schnüffelprogramme die PIN mitlesen.
Die Folge: Datendiebe könnten die auf dem Personalausweis gespeicherten Daten samt PIN speichern und sich so als die Person ausgeben, deren Daten kopiert wurden. Identitätsdiebstahl wird das genannt. Keine Lappalie, schließlich soll der neue, maschinenlesbare Personalausweis künftig verstärkt dazu dienen, sich im Internet auszuweisen, etwa um Rechtsgeschäfts zu tätigen oder um sich gegenüber Behörden auszuweisen. Selbst das Ändern der PIN ist möglich, so dass der betroffene Bürger sich selbst nicht mehr online ausweisen kann.
Vermeiden lässt sich dieses Problem nur, wenn das Lesegerät selbst mit einer Tastatur versehen wird, damit der Benutzer die PIN direkt am Lesegerät eingibt. Für Onlinebanking mit HBCI gibt es solche Lesegeräte längst. Sie werden von den Banken empfohlen oder sogar vorausgesetzt.
Erstaunlich, dass gerade beim Personalausweis, immerhin eins der wichtigsten, amtlichen Dokumente überhaupt, nicht stärker auf die nötigen technischen Rahmenbedingungen geachtet wurde, um solche eher simplen, längst bekannten Angriffsmethoden zu verhindern oder wenigstens zu erschweren.
Hier müssen die technischen Vorschriften unbedingt angepasst werden, denn anderenfalls dürfte sich in der Bevölkerung kaum das nötige, aber gewünschte Vertrauen in den neuen Ausweis entwickeln.
31.12.2009 | Tipps
Praktisch jeder telefoniert heute mit einem Handy. Viele haben nicht mal mehr einen Festnetzanschluss, sondern verlassen sich ausschließlich auf ihr Mobiltelefon. Klar, dass der jüngste Coup des Chaos Computer Club (CCC) viele Handybenutzer enorm verunsichert.
Da stellen sich viele die Frage: Ist das Telefonieren mit dem Handy noch sicher?
Klare Antwort: Nein. Sicher ist es auf keinen Fall mehr, das wurde eindrucksvoll belegt.
Die Nachricht vom geknackten GSM-Code macht derart schnell die Runde und weckt derart großes Interesse in Fachkreisen, dass wohl davon auszugehen ist, dass nun eine Art Dammbruch eintritt: Schnell werden immer einfacher zu bedienende Programme verfügbar sein, die alles Mögliche erlauben – und vor allem früher oder später auch Leuten, die technisch nicht ausgesprochen versiert sein müssen. Auch das gezielte Ausspitzeln einzelner Gebäude aus einem Auto heraus, zum Beispiel, ist dann durchaus denkbar.
Ich bin nach wie vor der Meinung, dass der Einzelne nun nicht gleich den Aus-Knopf seines Handys betätigen sollte, in der ständigen Sorge, anderenfalls abgehört zu werden. Aber das Problem ist vermutlich doch größer als ursprünglich (von mir) gedacht. Wegducken geht nicht mehr: Handyhersteller und vor allem Mobilfunkprovider müssen dringend den veralteten und nachgewiesenermaßen unsicheren A5/1-Algorithmus durch einen zeitgemäßen ersetzen.
Das ist schon allein aus psychologischen Gründen erforderlich. Denn wenn sich erst mal die Erkenntnis durchsetzt, dass jedes Gespräch abgehört werden kann und sich niemand mehr traut, mit dem Handy auch wichtige Telefonate zu führen, dann schadet das dem Handy als Kommunikationsmittel insgesamt.
Kriminelle schert es natürlich nicht, dass es kriminell ist, Handys abzuhören. Die stellen sich einzig und allein eine Frage: Wie effektiv ist es, Handys abzuhören? Konkret in einzelne Gespräche reinzuhören, das halte ich für extrem aufwändig. Bis da mal was Interessantes abfällt, könnte eine lange Zeit vergehen. Kommt aber natürlich auch darauf an, welche Opfer man sich aussucht – zum Abhören.
Was aber, wenn ein Programm entwickelt wird, dass Handygespräche mitschneidet und nach Schlüsselwörtern durchsucht? Durchaus denkbar, heutzutage – und in Geheimdienstkreisen zweifellos auch längst im Einsatz.
Das Vertrauen ins Handy ist also arg ramponiert, bei vielen vielleicht sogar zerstört. Das kann nur durch ein beherztes Gegenlenken wieder gerettet werden: sichere Algorithmen, die zeitgemäß sind und auch einer kritischen Kontrolle standhalten. Die Entscheidung, welcher Algorithmus das sein soll, muss nicht übers Knie gebrochen werden. Aber nun wären Signale schön, Signale, dass etwas passieren wird – und bis wann.
