Home      Themenübersicht / Sitemap      Webmaster      

 

158. Newsletter - sicherheitskultur.at - 31.3.2020

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Covid-19 und Datenschutz

Händewaschen und Handy-Daten scheinen derzeit die beiden großen Waffen gegen den Virus zu sein. Aber es ist m.E. wichtig, dass wir nicht nebenbei unsere Rechte (möglicherweise auf Dauer) verlieren und dass die Maßnahmen die eingesetzt werden proportional zur Bedrohung, aber auch zu ihrer Effektivität sein sollen.

Da ist z.B. die Bewunderung die jetzt zum Teil für chinesisches Vorgehen aufkommt, Victor Orban will jetzt erst mal ähnlich reagieren. In Ungarn, Israel und Serbien wird erst mal ohne Parlament regiert, diese Fälle werden mehr werden.

Und es ist beunruhigend wenn bei dieser Gelegenheit Tracking, Überwachung und Datensammeln hochgefahren wird - auch wenn gute Intentionen dahinter stecken. Bei den Informationen was hinter dem ominösen "Bewegungsdaten" steckt die jetzt überall gesammelt und weitergegeben werden, da geht es leider ziemlich durcheinander.

Die scheint es sich zum Einen um vergleichsweise Mobilitätsanalysen zu gehen. Dafür werten die Mobilfunkprovider zu Informationen aus, welches Handy sich in welche Funkzelle eingewählt hat. Das ist typischerweise recht ungenau, z.B. ein 100-Meter Umkreis oder mehr (in Städten mit vielen Zellen kann es auch genauer sein, durch Triangulation mehrerer Funkzellen, auf dem Land kann es viel ungenauer sein). Dann werden (angeblich) die Daten mehrerer Nutzer aggregiert, in Ö von 20 und in D von 30 Nutzern. Wenn das so stimmt, so kann man daraus sehen, wie viele der Personen in diesen Funkzellen sind statisch und wie viele bewegen sich in andere Zellen. Aber es sollte nicht möglich sein, einzelne Handys zu tracken.

Verwirrend sind dann aber Aussagen wie: A1 betont jedes Handy bekomme für das Tracking eine zufällig generierte Nummer zugewiesen, die nach 24 Stunden wieder frisch vergeben werde. Das klingt Tracking von einzelnen Personen (und das wäre nicht wirklich anonym, siehe Anonymität von Bewegungsdaten. Details: Weltweite Standortüberwachung: Mit Handydaten gegen das Virus.

In Deutschland gab es einen Gesetzesentwurf: . . . dürften Behörden "auch auf Standortdaten der gefährdeten Person zurückgreifen". Der ist (erst mal) wieder zurückgezogen worden. Auch in Österreich gab es wohl solche Pläne, sie sollen wegen der mangelnden Genauigkeit der Funkzell-Daten zurückgezogen worden sein.

Das sind wohl die Daten die die Deutsche Telekom an das Robert-Koch-Institut (RKI) weitergegeben hat: Corona-Krise: Deutsche Telekom liefert anonymisierte Handydaten an RKI. Ähnliche Weitergaben gibt es wohl in Österreich, die Daten gehen wohl an das Rote Kreuz. Trauring ist, dass nicht mehr über die Algorithmen veröffentlicht, z.B. in Form von Pseudocode o.ä. Ein Mitarbeiter des Roten Kreuz hat Screenshots gepostet. Falls das alles ist, was verteilt wird, so ist das m.E. harmlos: Diese Standortdaten liefert A1 dem Krisenstab der Regierung.

Ähnlich: Die App Citymapper hat aus den Daten ihrer Nutzer einen sog. "mobility index" berechnet. Der sagt, dass sich die Nutzer in London noch deutlich mehr bewegen als z.B. Mailand und Madrid. Solche aggregierten Indexzahlen erscheinen mir unproblematisch um 'social distancing' zu messen.

Wirkliche Bewegungsdaten einzelner Personen (wie sie für das Tracken der Kontakte infizierter Personen immer wieder angedacht oder gefordert wird (oder zum Teil bereits implementiert ist), das ist viel problematischer. Denn das Anonymisieren von einzelnen Bewegungsverläufen ist nicht möglich: bei > 90% der Bevölkerung ist die Kombination aus Schlafort und Arbeitsstätte eindeutig.

Mir ist auch unklar, wie mit der begrenzten Genauigkeit von Funkzellen die Kontakte von Infizierten identifiziert werden kann. Dafür braucht es zumindestens die Auflösung eines GPS System (ca. 15 Meter im zivilen Einsatz). Aber selbst da ist es nicht einfach, z.B. in einem Mehrfamilienhaus, zu sagen, mit wem eine Person in diesem Haus zusammengetroffen ist. Das könnte bedeuten, dass viel zu viele Personen über die Krankheit infiziert werden würden, siehe weiter unten die Probleme in Südkorea. (Sehr leicht zu identifizieren sind natürlich gemeinsame Spaziergänge, dafür reicht sogar die Funkzellengenauigkeit).

Aber es gibt bereits Umsetzungen eines wirklichen Trackings von Infizierten: Die israelische Regierung hat als Notfallmaßnahme beschlossen, dass Handys von infizierten Patienten oder von Verdachtsfällen getrackt werden dürfen. Dadurch sollen mögliche andere Infizierte gefunden werden. Ziel: Befindet sich jemand längere Zeit in der Nähe einer infizierten Person, so wird ein SMS mit einer Quarantäne-Anweisung gesendet. Zuerst war eine Löschung nach 30 Tagen vorgesehen, dann 60 Tagen, nun ist die Löschung mehr oder weniger offen geblieben. In Dead of Night, Israel Approves Harsher Coronavirus Tracking Methods Than Gov't Stated.

Auch in Israel geht die Spyware-Firma NSO noch einen Schritt weiter und will Smartphone-Nutzer überwachen und ihre Bewegungen 2 Wochen rückverfolgen. Die Firma ist bekannt dafür, dass sie auch keine Skrupel hat, Überwachungssoftware an Diktaturen zu liefern. Jetzt interessieren sich angeblich bereits 20 Länder. Spyware-Firma NSO will Smartphone-Nutzer überwachen, um Coronavirus-Ausbreitung zu bremsen.

Mehrere italienische Firmen wollen einzelne Personen tracken können und zwar auf der Postings in Instagram die sie mittels AI auswerten wollen: Governments could track COVID-19 lockdowns through social media posts.

Die Daten sollen der Polizei zur Verfügung gestellt werden, natürlich wieder 'anonym': Staaten können Ausgangsbeschränkung über Instagram kontrollieren.

Das Parlament der Slowakei hat dem Staatszugriff auf Handydaten (vermutlich der Mobilfunkbetreiber) bereits zugestimmt. Slowakei: Parlament stimmt Staatszugriff auf Handydaten zu.

Google (und alle Apps die über eine Standort-Freigabe verfügen) haben über deutlich präzisere Standortdaten als die Mobilfunkbetreiber. In den USA sollen Google, Facebook und andere Tech-Giganten bereits Gespräche mit der Regierung führen, ob Daten von Erkrankten geteilt werden dürfen.

In Taiwan, dessen Bevölkerung sehr engen Kontakt mit China hat, mit vielen Gastarbeitern in den Infektionsherden, wurden die Datenbanken von der nationalen Krankenversicherung mit Einwanderungs- und Zolldaten innerhalb nur eines Tages kombiniert. Wer in den vorhergegangenen zwei Wochen in b etroffenen Gebieten war, der oder die wurde in Heimquarantäne geschickt und mit dem Mobiltelefon überwacht. Wer sich zu weit von der Wohnung entfernte, erhielt eine SMS. Das Ergebnis: Das Land scheint der Pandemie vorerst entkommen zu sein und zählt aktuell 195 Corona-Fälle.

In Südkorea wurden die Bewegungen ebenfalls überwacht und Informationen über die Bewegung von Infizierten an alle möglicherweise betroffenen Bürger verschickt, um sie zu warnen. Wie man liest war dabei auch die eine oder andere peinliche Überraschung dabei. Das sind SMS wie: "A woman in her 60s has just tested positive,” reads a typical text, “Click on the link for the places she visited before she was hospitalised” - auf einer Karte werden die Orte angezeigt, dies offenbart oft den Wohnort und in Verbindung mit dem Alter auch die Identität. 'More scary than coronavirus': South Korea's health alerts expose private lives.

China ist natürlich noch mal eine extra Klasse, die Handynutzer sollen eine App installieren, die sie informiert, ob sie sich selbst in Quarantäne begeben müssen. Dies berechnet das System aus den individuellen Bewegungsdaten, abgeglichen mit den Bewegungsdaten von infizierten Personen: Coronavirus: Eine App entscheidet in China über Quarantäne.

Eine App in Singapur hat den Namen "TraceTogether", sie beruht auf einem Blue Trace Protocol. Das Blau kommt daher, dass die App Bluetooth aktiviert und aus der Sendestärke der anderen Handys die die App auch nutzen die Nähe zu anderen Personen berechnet. Angeblich werden keine Identitäten gespeichert, sondern nur genierte Pseudonyme. Wenn jetzt ein Nutzer positiv getestet wurde und dies in die App eingibt, so werden alle intensiveren "Kontakte" die auch die App nutzen automatisch informiert. Rein theoretisch funktioniert dies ohne dass zentrale Stellen irgendwelche Daten bekommen. Außerdem ist die App natürlich "freiwillig". Summary: Ich kann mir gut vorstellen, dass so was auch ohne zentrale Datensammlung möglich ist. Das Robert Koch Institut denkt angeblich auch über so was nach: TraceTogether: Singapur plant Öffnung der staatlichen Coronavirus-Tracking-App.

Der Falter in Wien ist beunruhigt über die Entwicklungen: Schöne neue gesunde Welt.

Es gibt mittlerweile eine anonyme Watchgroup namens Coview19. Die Gruppe hat sich zur Aufgabe gemacht, die aktuellen Einschränkungen der Grundrechte zu überwachen – und darauf zu achten, dass sie nach Ende der Krise wieder rückgebaut werden. „Das Korrektiv der Zivilgesellschaft fehlt zu einem gewissen Maße“, erklärt „Cat“. Demonstrationen sind nicht möglich, was die Medienöffentlichkeit einschränkt. Also wird man auf den sozialen Medien aktiv. Das Symbol der Gruppe, deren Kern aus dem Umfeld der Kulturarbeit kommt, ist eine Katze mit Mundschutz. „Wir wollen kratzig-kritisch die Situation begleiten.“

Ähnlich kritisch begleiten die aktuellen Entwicklungen das epicenter.works und netzpolitik.org.

 

2. Beunruhigt über die "Zeit danach" und 'digitale Blockwarte'

Einige Menschen sind so wie ich beunruhigt darüber, dass nicht ganz klar ist, ob alle Einschränkungen an die wir uns in den nächsten Monaten gewöhnen werden irgendwann wieder abgeschafft werden.
Sascha Lobo berichtet im Spiegel, dass Angela Merkel gefragt wurde, ob die Grenzen nach der Coronakrise wieder geöffnet würden. Sie antwortete: "Ja, hoffentlich". Das ist ihm und mir eigentlich etwas zu wenig.

Florian Klenk vom Falter ist beunruhigt über die "digitalen Blockwarte": 'Eine merkwürdige, vor allem im vermeintlich progressiven Milieu zu ortende Moralpolizei ist da unterwegs', z.B. ein 'Twitter-Mob, der damit beginnt, jene Menschen zu fotografieren und bloßzustellen, die sich im öffentlichen Raum mutmaßlich falsch verhalten.' Achtung! Die digitalen Corona-Blockwarte sind unterwegs.

Sascha Lobo entdeckt eine ähnliche Arroganz der Privilegierten im Home Office gegenüber Menschen die mehr Probleme haben, z.B. weil sie kein Home Office machen können und/oder Kinder nicht wochenlang in der Wohnung beschäftigen können.

Die Süddeutsche findet es eigenartig, dass man/frau in einigen Bundesländern den Polizisten erklären muss, was das Verhältnis zur Person neben sich sei: Beziehungen in der Corona-Krise: Mit wem spazieren Sie? Das Leben ist auch für die Singlehaushalte komplizierter geworden, nicht nur für Alleinerziehende mit Kindern.

Die taz hat dazu in einer Graphik die unterschiedlichen Regeln dazu pro deutschem Bundesland illustriert. Bizarr!

Eine Satire dazu: Berti Blockwart passt auf – Eine Wiener 'Kwarantäne-Satire' von Nikolaus Habjan, Folge 2.

 

3. Neue Unsitte in Zeiten der Videokonferenzen: Zoom-Bombing

Jetzt finden ja viele Events online statt, oft mit offenem Teilnehmerkreis. Dies nutzen Trolle aus, indem sie sich in solche Konferenz einwählen und versuchen, zu stören. Sehr effektiv geht dies bei dem Video-Dienst Zoom. Dort ist die Default-Einstellung, dass jeder seinen Screen sharen kann, nicht nur der Moderator. Und dann sharen die Trolle extrem ungustiöse Inhalte wie Gewalt und drastische Pornographie: Zoom-Bombing.

Im nächsten Newsletter wird es dann viel mehr zu Problemen mit Zoom geben.

 

4. Digitale Gewalt - digitales Stalking

Erstmals gibt es Zahlen für das Ausmaß: Kaspersky findet aktuell 2300 Fälle von Spionagesoftware auf Smartphones in Deutschland. Das sind aber nur die Fälle, bei denen die Kaspersky Sicherheitssoftware auf dem Gerät installiert ist. Im europaweiten Vergleich liegt Deutschland an der Spitze. Auf der sicherheitskultur.at gibt es weitere Hintergründe zu Spyware.

Mehr Hintergrund zu digitaler Gewalt auch im späteren Newsletter 167 (mit Links auf die Videos der Privacyweek Wien des Chaos Computer Clubs zu diesem Thema).

 

5. Microsoft Support Scam (reverse) und andere Angriffe die COVID-19 ausnutzen

Der angespannte Arbeitsmarkt und die Not von Menschen die derzeit keine Unterstützung bekommen sorgt für betrügerische Job-Angebote

Europol gibt einen Überblick wie derzeit die Kriminellen die angespannte Lage ausnutzen.

Microsoft Support Scam ist eigentlich ein alter Hut, passiert ständig. Eine Website ist manipuliert, es popt eine Alarmmeldung auf die so aussieht als wären das Sicherheitswarnungen vom Browser plus Virenscanner. Dazu die Meldung, sofort eine bestimmte (meist lokale) Nummer anzurufen, auf keinen Fall den Rechner neu starten. Wenn man dann dort anruft, so verbindet sich ein hilfreicher Mensch auf den betroffenen Rechner, installiert sich remote Zugriff und räumt mittelfristig die Bankkonten leer.

Jetzt hat es jemand geschafft, bei so einer Aktion umgekehrt in das Office der Scammer einzudringen und dort sogar Videos mitgeschnitten.

 

6. 'Guidelines on cryptographic algorithms usage and key management' des European Payments Council (EPC)

Ausführliches Dokument über alle Formen der Kryptographie, d.h. Hashing und Verschlüsselung und den aktuellen Stand was noch nicht "geknackt" ist.
 


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Hinweis auf Link zum Archiv-ÜberblickZum Archiv-Überblick

Hinweis auf Link zur StartseiteHome

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.