Nachgehakt

Ein kurzer Hinweis (nach zugegeben extrem langer Pause hier ), auf einen Beitrag, den ich (anlässlich eines Seminars mit dem Titel „Bald wissen wir alles über dich” vom 29.-31.1. in Bempflingen bei Reutlingen) im Blog des BDP Baden-Württemberg geschrieben habe:

Wir brauchen Menschen, die etwas zu verbergen haben.

Futurezone meldete am am Sonntag, dass Justizministerin Zypries Waffen biometrisch sichern soll. Es soll künftig dann nur noch mit einem Fingerabdruck möglich sein, eine Waffe scharf zu stellen.
Zugegeben, es schafft eine Hürde. Allerdings eine, die leicht zu überwinden ist. Der Chaos Computer Club hatte vor einigen Monaten den Fingerabdruck von Innenminister Wolfgang Schäuble "gesichert" und bereits früher demonstriert, wie leicht Fingerabdrucksperren zu umgehen sind.

Halten wir kurz inne und überlegen, warum dieser Vorschlag kam. Yep, Winnenden. Ein Amokläufer benutzt die Waffen seines Vaters. Nun weiter überlegt, wie schwer wäre es für ihn gewesen, an einen Fingerabdruck seines Vaters zu kommen? Eben!

Soviel zu diesem Vorschlag. Mal davon abgesehen, dass sich die Schützenlobby in Deutschland da sowieso noch dazwischenwerfen würde, sollte der Vorschlag weiter verfolgt werden.

Deutschland braucht ja schließlich Waffen zu Hause! Wofür? Fragen Sie die örtliche Schützenlobby oder ersatzweise die National Rifle Association in den USA.

Während die deutschen Kleingeister sich noch über Videoüberwachung an Schulen empören (z.B. in Mannheim oder Hilden), ist man im "Paradies der Videoüberwachung" Großbritannien schon mehrere Schritte weiter. Im St. Neots Community College in Cambridgeshire sollen die Schüler in Zukunft per Gesichtserkennung identifiziert werden. Neben der Zugangskontrolle soll die Gesichtserkennung aber auch für die Mensa eingesetzt werden - dafür setzt man in Großbritannien zur Zeit vor allem Fingerabdrucksysteme ein.
Anfangs sollen die Schüler sich noch zusätzlich mit einer PIN identifizieren, später soll das System ganz auf die Gesichtserkennung vertrauen und automatisch scannen. Praktischerweise kann man so direkt kontrollieren, wer wann das Gebäude betreten hat, wie viele Schüler brav ihren Spinat gegessen haben, usw.
So züchtet man sich natürlich die ideale "Big Brother"-Generation. Wer von klein auf gewohnt ist, sein Gesicht scannen zu lassen, für den sind Kameras an allen öffentlichen Plätzen bestenfalls eine "gewohnte Umgebung"...
Nachdem (wie die heise.de-Meldung auch schreibt), bereits RFID-Chips in die Schüler-Uniform eingesetzt wurden, bleibt nun nicht mehr viel Steigerungspotential. Es bliebe noch, den Schülern die RFID-Chips unter die Haut zu implantieren - das hat man sich zwar selbst bei Häftlingen noch nicht getraut, man findet aber schon nach kurzer Suche die passende Begründung: es werden Gesundheitsinformationen auf den Chips gespeichert. Hat der arme Sprössling nun Bauchschmerzen, kann man sofort herausfinden, ob der Blinddarm noch drin ist.

Das alles natürlich vor dem Hintergrund der ständigen Datenverluste in Großbritannien...

Schöne neue Welt...

P.S. Noch mehr auf die Hintergründe und parallelen Fälle geht der Eintrag von ravenhorst ein.

Einem Bericht der Stuttgarter zufolge gab es eine kritische Datenlücke auf einer Webseite des Kinderkanals, platz-fuer-helden.de.
Offensichtlich war es nach dem Login möglich, die Daten aller angemeldeten User zu sehen - inklusive Adresse, Telefonnummer und Geburtsdatum. Der Beschreibung der StZ zufolge wohl durch einfache Änderung eines Links. Besonders kritisch ist natürlich, dass es sich bei den Angemeldeten zumeist um Kinder und Jugendliche handeln dürfte - dass die gesamten Daten einsehbar waren, war geradezu ein Freifahrschein für Pädophile.
Umso schlimmer, dass der Sender auf die Mail des Vaters, der die Lücke entdeckt hatte, tagelang nicht reagierte und erst aktiv wurde, als die Zeitung nachfragte. Gerade wenn es um Kinder geht, sollte man besonders sensibel sein und nicht mauern und aussitzen. Die Schutzfunktion, dass die Anmeldung erst durch Bestätigung durch die Eltern aktiv wurde, wurde dadurch auf jeden Fall völlig nutzlos.

Update: Der KiKa hat die Seite mittlerweile komplett deaktiviert, um sie nun auf Herz und Nieren zu prüfen. Laut einem neuen Bericht der StZ wurde der Fehler durch einen einzigen Klick verursacht.

"Es war ein einziges Häkchen falsch gesetzt, deshalb war der betroffene Bereich nicht geschützt", sagte die Sprecherin, "es war schlicht menschliches Versagen.

Die Mail, mit der der Sender gewarnt wurde, ist offensichtlich in einem Spam-Filter hängengeblieben, der Sender hat den Finder der Lücke mittlerweile offenbar kontaktiert.

Am Freitag fand sich im Blog von Patrick Breyer der Eintrag, die Telekom würde gegen einen von ihm gestellten Antrag vorgehen, den Verwaltungsakt der Bundesnetzagentur öffentlich zu machen, mit dem die Telekom die Herausgabe von Verbindungsdaten ohne richterliche Anordnung begründet (siehe den entsprechenden Eintrag vom Samstag).

Die taz stellt den Vorgang nun ganz anders dar: Laut der taz geht die Telekom nicht gegen die Veröffentlichung, sondern gegen den Verwaltungsakt selbst vor, der sie zu der illegalen Herausgabe der Verbindungsdaten zwinge.

Ein Telekom-Sprecher wird wie folgt zitiert:

Damit müssen wir quasi gegen das Fernmeldegeheimnis verstoßen

Deswegen haben wir beim Verwaltungsgericht Köln einen Eilantrag auf Aussetzung dieser Regelung gestellt.

Die Bundesnetzagentur verteidigt den Verwaltungsakt als notwendig, um die Nutzer zu identifizieren. Der Verwaltungsakt regele auch nur die sofortige Auswertung und längere interne Speicherung der Daten bei der Telekom und nicht die Herausgabe und sei daher vom Telekommunikationsgesetz abgedeckt.

Was nun richtig ist, muss wohl die Zeit zeigen. Aber selbst wenn sich die Sichtweise der taz bestätigt, bleibt der Vorwurf bestehen, dass die Telekom (mindestens einmal) Verbindungsdaten ohne richterliche Genehmigung an die Staatsanwaltschaft weitergegeben hat.

Hier die Einträge in der taz und dem CTRL-Blog, sowie der ursprüngliche Blogeintrag von Patrick Breyer.

Der Telekom wurde Anfang des Monats von Patrick Breyer in seinem Blog vorgeworfen, dass sie illegal und ungefragt Verbindungsdaten herausgibt, noch dazu unzulänglich verschlüsselt (siehe den Eintrag hierzu).
Die Geschichte scheint sich nun "interessant" zu entwickeln. Patrick Breyer fragte beim Bundesdatenschutzbeauftragten nach und eine Mitarbeiterin bestätigte, dass diese Praxis illegal sei und dass die Telekom zugesagt habe, das Verfahren zu ändern. Nachdem die Meldung auch auf heise.de zu lesen war, haben einige Leser Strafanzeige gegen die Telekom wegen Verstoßes gegen das Fernmeldegeheimnis erstattet. Die Telekom beruft sich nun auf einen Verwaltungsakt der Bundesnetzagentur - als ob ein Verwaltungsakt der Netzagentur die Gesetzeslage ändern könnte. Patrick Breyer versucht nun, diesen Verwaltungsakt nach dem Informationsfreiheitsgesetz einzusehen.
Pikanterweise geht die Telekom nun gerichtlich gegen die Herausgabe vor. Offensichtlich scheint man bei der Telekom selbst nicht davon überzeugt zu sein, dass dieser Verwaltungsakt das Verhalten der Telekom rechtfertigt, andernfalls würde dieses Gerichtsverfahren ja kontraproduktiv sein.
Patrick Breyer vermutet, dass die Telekom einen zweiten Datenschutzskandal und weitere Strafverfahren verhindern will - was anhand der vorliegenden Informationen sehr plausibel scheint.

Genauer Infos im Blog von Patrick Breyer.

Update: Die taz schreibt nun in einem Artikel, gerichtlich gegen den Verwaltungsakt selbst vorgeht und sich als Opfer sieht. Mehr dazu hier.

Das Blog daten-speicherung.de wirft der Deutschen Telekom AG die illegale Herausgabe von Verbindungsdaten vor. Diese dürfen nur nach richterlicher Anordnung herausgegeben werden. Die Telekom nach einer von dem Blog anonymisiert vorgelegten PDF-Datei die Daten aber in einer Art von vorauseilendem Gehorsam auf eine Anfrage der Staatsanwaltschaft herausgegeben, bei der es nur um die Ermittlung des Anschlussinhabers einer IP-Adresse ging.

Die Daten gingen dazu noch nur äußerst dürftig geschützt per Mail durchs Netz: als passwortgeschützte Zip-Datei - das Passwort war ein vierstelliges Wort, offensichtlich in jedem Wörterbuch auffindbar und somit in kürzester Zeit knackbar.

Ausführlich auf daten-speicherung.de.

Das Europaparlament hat heute den biometrischen Kontrollen im Rahmen des Visa-Informationssystems [VIS] zugestimmt. Damit müssen ab 2009 alle aus visumpflichtigen Staaten Einreisende ihre Fingerabdrücke abgeben, allerdings kann zu Stoßzeiten auch nur stichprobenartig kontrolliert werden. Es wird dann geprüft, ob die Fingerabdrücke mit den im Visum angegebenen übereinstimmen. Die genommen Fingerabdrücke werden 5 Jahre lang gespeichert.
Binnen 10 Jahren soll so die größte Fingerabdruckdatenbank der Welt entstehen.

Via dem Virtuellen Datenschutzbüro und ORF Futurezone.