Home      Themenübersicht / Sitemap      Webmaster      

 

Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - Archiv 2006 - 1. Hälfte

von Philipp Schaumann

An dieser Stelle werden Beobachtungen ver√∂ffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen gr√∂√üeren Zusammenhang eingereiht werden m√ľssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

22.06.2006 - Laptopdiebstahl, warum lernen die Unternehmen nichts?

Laptopdiebst√§hle f√ľhren immer wieder zu erheblichen Verletzungen der Datenvertraulichkeit, 3 aktuelle F√§lle als Beispiel:

Equifax -- one of the three major U.S. credit reporting bureaus -- acknowledged that a laptop computer containing employee names and Social Security numbers was stolen from a worker traveling on a train near London. Company spokesman David Rubinger told the Reuters news agency that the May 29 theft affects nearly all of the company's 2,500 U.S. employees, ......

U.S. Department of Veterans Affairs (VA) confirmed that records for every veteran discharged from the military since 1975 were stolen from the home of an agency employee. The VA later revealed that the breach also put active duty personnel at risk for identity fraud.

Union Pacific, which acknowledged the theft of an employee's laptop containing the names, birth dates and Social Security numbers of 30,000 former employees.

Und dabei ist die L√∂sung eigentlich einfach: Verschl√ľsselung der gesamten Festplatte, Eingabe eines Passworts oder eines Tokens VOR dem Ausf√ľhren des BIOS und die Daten auf dem Laptop sind f√ľr den Dieb wertlos. Hier ein Full-Disk-Encryption Crash-Course.

 



14.06.2006 - Einem gefunden USB-Stick . . . . . .

Heise berichtet √ľber eine interessante Social Engineering Aktion bei der ein Sicherheitsspezialist mit einem Keylogger pr√§parierte USB-Sticks auf dem Firmengel√§nde "verloren" hat. Von den 20 eingesetzten Sticks wurden 15 aufgelesen und nat√ľrlich prompt in die Firmenrechner eingesteckt. Das dort befindliche Programm wurde ausgef√ľhrt und meldete seinen Erfolg (und die zwischenzeitlich eingegebenen Passworte) an den Pr√ľfer.

Die Aktion zeigt Sachen ganz deutlich: die Mitarbeiter sind oft die gr√∂√üte Gef√§hrdung f√ľr die Informationssicherheit und die USB-Ports kommen gleich danach. Hier der Originalartikel.

Es gibt heute √ľbrigens sehr gute Software zum sehr flexiblen Absichern der USB-Schnittstellen (viel flexibler als Superglue ;-) ) - eine Kombination aus Versperren, Freigeben f√ľr firmeneigene Ger√§te und Protokollierung aller Aktivit√§ten. Aber die Mitarbeiter stellen offensichtlich eine mindestens ebenso gro√üe Herausforderung dar. (Falls Sie auf einem der Gebiete Hilfe brauchen, wenden Sie sich vertrauensvoll an mich :-) )

 



22.05.2006 - Leider sehr erfolgreiche Erpressung

heise.de berichtet, dass es Spammer durch Denial of Serive-Angriffe großen Umfangs (dDoS) geschafft haben, das Unternehmen Blue Security, das im Anti-Spam Bereich mit 500 000 Kunden recht erfolgreich war, zur Aufgabe zu zwingen.

Die Erpressung bestand darin, dass sie mit einem sehr großen Botnet nicht nur die Server der Firma selbst angegriffen haben, sondern auch ausgewählte Kunden. Durch den Angriff auf diese Kunden und die ISPs der Kunden haben sie diese quasi als Geiseln genommen und die Firma hat das Handtuch geschmissen. "CEO Eran Reshef said the Israel-based company was closing its service Wednesday. He did not want to be responsible for an ever-escalating war that could bring down internet service providers and websites around the world and subject its users to denial-of-service attacks from a well-organized group controlling a massive army of computer drones."

Ein dunkler Tag f√ľr das Internet, das Faustrecht hat (in diesem Fall) gesiegt.

Aktualisierung 2.6.2006: techrepublic.com berichtet, dass sich ziemlich schnell eine Gruppe von IT-Leuten gebildet hat, die auf Open Source Grundlage das gleiche versuchen wollen.

* Okopipi leaps in where Blue Security left off
The new user group is building an open source P2P application that sends spammers automated "unsubscribe" messages. Some call it feasible, but others believe counterattack strategies are doomed to fail.

Aktualisierung 10.7.2006: Marcus Ranum liefert eine detaillierte Beschreibung des sehr cleveren Konzepts von Blue Security

 



20.05.2006 - Auch du - Apple ???

In meinen Tipps f√ľr Heim-PCs hatte ich bisher empfohlen, mal dar√ľber nachzudenken, ob ein Apple Computer nicht auch eine Alternative zum Windows Rechner sein k√∂nnte und f√ľr das Webbrowsing lieber den Firefox als den Internet Explorer angeraten. Hintergrund war, dass es traditionell kaum Schwachstellen in dieser Software gab. Leider hat sich das drastisch ge√§ndert. Die SANS Organisation, die regelm√§√üig ihre Top 20 der Verwundbarkeiten ver√∂ffentlicht schreibt dazu folgendes:

The Mac OS X was released by Apple in 2001 as a solid UNIX-based Operating System. Although Mac OS X has security features implemented out of the box such as built-in personal firewall, un-necessary services turned off by default and easy ways to increase the OS security, the user still faces many vulnerabilities.

Mac OS X also includes the Safari web browser. Multiple vulnerabilities have been found in this browser and in certain cases exploit code has also been posted publicly.

Apple frequently issues Mac OS X cumulative security updates that tend to include fixes for a large number of vulnerabilities with risk ratings ranging from critical to low. This complicates the tracking of vulnerabilities for this OS, and the best way to ensure security is to apply the latest cumulative patch

Außerdem berichtet SANS, das immer öfter sog. Cross Platform Vulnerabilities auftauchen, d.h. in Produkten, die auf vielen Plattformen laufen. Und in denen finden sich auch immer öfter Verwundbarkeiten. Aktuelle Beispiele sind RealPlayer, Quicktime, iTunes, Shockwave, Flash und sogar in Antivirenprogrammen. Auch hiervon sind oft die Mac-User mitbetroffen. Und auch die alternativen Webbrowser wie Firefox haben neuerdings eine höhere Zahl von Verwundbarkeiten. :-(

Das hei√üt, dass alle Sicherheitsregeln, wie das regelm√§√üige √úberpr√ľfen, ob Sicherheitsaktualisierungen (Patches) vorliegen, diese installieren, einen st√§ndig aktualisierten Virenschutz zu benutzen, gelten (leider) auch f√ľr alternative Software, nicht nur f√ľr Microsoft Produkte.

 



23.03.2006 - Wem gehört eigentlich ihr Rechner zu Hause?

heise.de berichtet √ľber eigenartige Effekte des Kopierschutzes von Alpha-DVD auf der deutschen DVD des Films "Mr. & Mrs. Smith". Ich habe den Eindruck, dass niemand von den Medienkonzernen aus dem Sony Debakel gelernt hat. Anscheinend kann nur ein erfolgreicher Prozess mit hohen Schadenersatzzahlungen solche Eingriffe in die Rechner ihrer Kunden abstellen. Mehr zur zunehmenden Absurdit√§t der Idee des Intellectual Properties an anderer Stelle.

 



15.03.2006 - Wenig Fortschritt beim Phishing-Schutz

Im Rahmen des letzten Stammtischs des Vereins IISA habe ich einen Vortrag √ľber die Zukunft des Phishings in Form von Man-in-the-Middle-Angriffen (MITM) gehalten. (den Vortrag gibt es als PDF unter dem Link zur IISA).

Mein Tenor: die Banken f√ľhren jetzt mit iTAN (indizierten TANs) oder mTAN (per Handy) einen guten Schutz gegen die Angriffe des letzten Jahres ein, so ignorieren aber die zuk√ľnftigen Angriffe, z.B. durch MITM oder mittels der vielen bereits infizierten Heimrechner (Schwankungen liegen zwischen 18 und 80%). Das Sicherheitsproblem des E-Bankings besteht darin, eine sichere Transaktion von einem unsicheren Ger√§t aus √ľber eine unsichere Verbindung durchzuf√ľhren. Das klingt sehr schwierig, ist aber mit etwas Kreativit√§t und Flexibilit√§t durchaus l√∂sbar. Schwierig wird es, wenn die Banken versuchen, eine L√∂sung zu finden, die allen ihren Kunden genauso recht ist. Deswegen mein Vorschlag, individuelle Sicherheitseinstellungen f√ľr jedes Konto zu erm√∂glichen. Ein Beispiel, wie das aussehen k√∂nnte, gebe ich hier an.

 



15.03.2006 - Wegelagerei in √Ėsterreich

Die Computerwelt berichtet: Geht es nach der Literar Mechana, muss seit erstem J√§nner 2006 f√ľr jeden Computer – unabh√§ngig ob im privaten oder gesch√§ftlichen Gebrauch – Urheberrechtsabgabe gezahlt werden. Begr√ľndung: PC, Notebooks und Server, also jeder Rechner, an den ein Drucker oder ein Ger√§t zur Vervielf√§ltigung von gedrucktem Text angeschlossen werden kann, kann zum Ausdrucken von urheberrechtsgesch√ľtzten Texten verwendet werden. Und das, nachdem der Versuch der Austro Mechana, eine Leerkassettenverg√ľtung auf Festplatten von PC und Notebooks einzuf√ľhren, nach langem Rechtsstreit bis zum OGH gescheitert ist: Festplatten werden nicht ausschlie√ülich zum Speichern von Musik verwendet und m√ľssen somit nicht extra verg√ľtet werden. Nun versucht es die Schwestergesellschaft mit der gleichen Begr√ľndung f√ľr gedruckte Texte.

Es ist so unglaublich absurd: Wer verwendet seinen Drucker schon, um Texte auszudrucken, die urheberrechtsgesch√ľtzt sind und f√ľr die er noch nicht vorher, z.B. durch ein Abo gezahlt hat? Die Idee, dass alles was wir im Internet sehen, Urheberrechtschutz und Copyright unterliegt wird immer absurder. Mittlerweile wird gesch√§tzt, dass √ľber 60% der Inhalte im Internet privaten Ursprungs sind: die viele privaten Websites (wie diese hier), Blogs, Fotoblogs, aber auch die Inhalte von eBay, die Buchbesprechungen in amazon, die Beitr√§ge in Diskussionforen, etc. Das scheint aber die Verwertungsgesellschaften nicht zu ber√ľhren, sie sehen die K√§ufer von IT-Ger√§ten, seien es Privatleute oder Firmen, als Selbstbedienungsladen und setzen einseitig diese Preise fest. F√ľr PC gilt der Tarif von 21,2 Euro. F√ľr Schwarz-Wei√ü Drucker liegt die Abgabe je nach Geschwindigkeit zwischen 7,2 Euro und 63 Euro, bei Farbdruckern sind es zwischen 14,4 und 126 Euro. Mehr zur zunehmenden Absurdit√§t der Idee des Intellectual Properties an anderer Stelle.

Dazu eine Meldung aus Frankreich: 15|3|2006 - Frankreich plant Ende des Kopierschutzes
Das franz√∂sische Parlament stimmt am morgigen Donnerstag √ľber einen interessanten Gesetzesentwurf ab: Nutzer sollen digitale Medien k√ľnftig beliebig in andere Formate konvertieren d√ľrfen. Frankreich w√ľrde damit de jure Kopierschutz- und andere DRM-Methoden (Digitales Rechte-Management) abschaffen.

 



14.03.2006 - Klassischer Knieschuss bei McAfee

Es ist schon fast wieder lustig, heise.de berichtet:

10. M√§rz von McAfee ausgelieferte Signatur-Update 4715 f√ľhrte bei diversen legitimen Dateien zu einem Fehlalarm. Je nach Konfiguration verschiebt der Virenscanner die vermeintlich infizierten Objekte in ein Quarant√§ne-Verzeichnis oder l√∂scht diese sogar vollst√§ndig. In der vollst√§ndigen Liste der f√§lschlich als Virus W95/CTX erkannten Dateien befinden sich unter anderem die Windows-Systemdateien usersid.exe und imjpinst.exe, die Microsoft-Office-Dateien excel.exe und graph.exe sowie diverse Dateien aus Java-Installationen, der Google-Toolbar, dem Macromedia-Flash-Player und dem Adobe-Update-Manager.

Aus der Tatsache, dass Teile von Windows und andere Anwendungen als Malware eingestuft werden, könnte man alles mögliche schließen, aber das möchte ich mir an dieser Stelle verkneifen. ;-)

 



31.01.2006 - Leichte Erstellung von Pers√∂nlichkeitsprofilen √ľber die Amazon-Wishlists

Auf amazon.com oder amazon.at kann jeder Kunde eine Wishlist erstellen, und die k√∂nnen andere Leute, z.B. seine Freunde dann einsehen und ihm B√ľcher aus der Wunschliste schenken. Dabei wird sogar sichergestellt, dass ein bereits von einem Freund gekauftes Buch nicht noch einmal geschenkt wird. So weit, so gut. Das Problem besteht darin, dass der Default so ist, dass JEDER die Wunschliste sehen kann, er muss noch den Namen, oder auch nur den Vornamen wissen.

Hier erklärt jemand, wie er unter Ausnutzung der zumeist öffentlich zugänglichen Daten auf der Amazon Wishlist ein Interessenprofil von 200 000 Amazon-Kunden erstellt hat. Heißer Tipp: die Zugriffe auf die eigene Wishlist einschränken auf einzeln freigegebene Freunde!

 



25.01.2006 - Die Profilierungssucht: Privatsphäre vs. Gmail, Amazon, Sony, . . . . . .

Im Rahmen der Diskussionen um das Konfiszieren der Logs der Suchmaschinen gibt es auch eine Diskussion um Gmail von Google. Das besondere an Gmail ist, dass der Benutzer beim Einrichten seiner Mailbox zustimmen muss, dass ein Software-Programm seine Mails liest und dann zum Thema passende Werbung einblendet. Das Electronic Privacy Information Center (EPIC) in den USA weist dazu auf eine Tatsache hin, die ich bisher √ľbersehen hatte: Google hat zwar mit dem Empf√§nger der E-Mails, d.h. dem Inhaber der Mailbox eine Vereinbarung getroffen, nicht jedoch mit dem Absender der Mail, n√§mlich die nicht Gmail-Nutzer, die Bekannte haben, die Gmail-Accounts benutzen.

Google sagt, dass sie (derzeit) keine Profile anlegen. Das Patent hinter ihrem Konzept diskutiert diese M√∂glichkeit aber sehr wohl. Und die Privacy-Regeln schlie√üen das Anlegen von Profilen nicht ausdr√ľcklich aus.

Und anscheinend will jetzt jeder mit seinen Benutzerprofilen Geld machen: Apple hat letzte Woche zu seiner iTunes Software die Feature MiniStore, hinzugef√ľgt. Diese meldet, welches St√ľck gerade gespielt wird und schl√§gt den Kauf √§hnlicher St√ľcke vor. Nach Protesten gibt es jetzt die M√∂glichkeit, diese Feature abzustellen. Auch Sony hat mit seiner DRM-Software ja √ľbertragen, wie oft welches St√ľck gespielt wurde. Und Amazon sammelt ja schon lange Profile aller Kunden und schl√§gt entsprechende K√§ufe vor.

Und wenn erst mal alle Produkte die wir kaufen mit RFID ausgestattet sind, dann beschr√§nkt sich der Aufbau von solchen Profile nicht mal mehr nur aufs Internet. Mit dem Schutz der Privatsph√§re sieht es auf die Dauer nicht gut aus, sei es √ľber Internet-Profiling, RFID oder die allgegenw√§rtigen √úberwachungskameras.

 

Was hat Google √ľber Sie gesammelt?

2018: Dass Google viel √ľber uns alle wei√ü, das ahnen wohl alle. Wer aber wissen will, was da konkret gesammelt wurde, der braucht nur mit seinem Google Account einzuloggen und dann nachzusehen.

Der Standard hat eine gut bebilderte Anleitung zusammengestellt: Wie viel Google √ľber uns wei√ü. Da gibt es, speziell f√ľr Android-Nutzer, sehr viel zu sehen, z.B. mittels der Timeline, wo sich der Nutzer zu welcher Zeit aufgehalten hat, bis zur√ľck zum Kauf des ersten Android-Phones. Auch welche Webseiten man im Laufe der Jahre angesehen hat, ist dort transparent, und auch die, die gar nichts mit Google zu tun haben. Das funktioniert trozzdem, z.B. wenn auf dieser Website Werbung geschaltet war, die √ľber Google Adwords eingekauft war.

Die gute Nachricht ist, dass man das fast alles auch löschen kann. Aber das kann dann schon mal in Arbeit ausarten.

Wenn Sie wissen m√∂chten, wie AdWords (d.h. Google) sie als Konsument einsch√§tzt, so gehen sie auf diesen Link zu Settings for Google ads. In der Rubrik "Google ads across the web" finden sie bei "Interests", wie Google sie einsch√§tzt - das funktioniert aber nur, wenn Sie grunds√§tzlich beim Surfen Cookies akzeptieren. Wenn die Eintr√§ge alle leer sind, so ist dies ein gutes Zeichen f√ľr ihre Privatsph√§re.

An anderer Stelle erkläre ich, wie man sich seine Daten in allen Social Networks ansehen und auch herunterladen kann.

Google als Monopolist

Nov. 2016: Ein NY Times Artikel A Gmail Rival Sent to Siberia by a Mysterious Google Glitch berichtet wie mit einem Schlag das Gesch√§ftsmodell von ProtonMail zusammenbrach, nachdem sie bei Suchfragen wie ‚Äúencrypted email‚ÄĚ und ‚Äúsecure email‚ÄĚ nicht mehr auf den ersten beiden Seiten waren.

April 2014: Ein Artikel des Vorstandsvorsitzenden des Axel Springer Verlags dr√ľckt viele Probleme aus, die ich und andere mit der Macht von Google haben. Es beginnt mit einem Artikel eines der Beschwerdef√ľhrer bei der EU-Kartelluntersuchung gegen Google: Von der Suchmaschine zur Weltmacht - Angst vor Google. Einige Zitate:

    . . . ist Google Marktf√ľhrer bei Suchmaschinen, mobilen Betriebssystemen, Browsern, Online-Videos und E-Mail-Diensten. . . . Das eindrucksvollste Zitat stammt aus dem Buch ‚ÄěDie Vernetzung der Welt‚Äú des langj√§hrigen CEOs und aktuellen Chairman von Google, Eric Schmidt: ‚ÄěWir sind √ľberzeugt, dass Portale wie Google, Facebook, Amazon und Apple weitaus m√§chtiger sind, als die meisten Menschen ahnen. Ihre Macht beruht auf der F√§higkeit, exponentiell zu wachsen. Mit Ausnahme von biologischen Viren gibt es nichts, was sich mit derartiger Geschwindigkeit, Effizienz und Aggressivit√§t ausbreitet wie diese Technologieplattformen, und dies verleiht auch ihren Machern, Eigent√ľmern und Nutzern neue Macht.‚Äú Zudem sagte Schmidt 2010: ‚ÄěWir wissen, wo du bist. Wir wissen, wo du warst. Wir k√∂nnen mehr oder weniger wissen, was du gerade denkst.‚Äú Und Larry Page, Gr√ľnder und heutiger CEO von Google, sagte schon 2004, dass die Google-Suche irgendwann in das Gehirn der Menschen integriert werde. Diese Aussagen sind erschreckend. Hier geht es nicht mehr nur um Wirtschaftspolitik, sondern um Gesellschaftspolitik.
    . . . Mit der √úbernahme des Thermostat- und Rauchmelderherstellers Nest im Januar 2014 hat sich Google den Zugriff auf die in den Zimmern der Verbraucher installierten Ger√§te erkauft. Der Gr√ľnder von Nest sagte einmal: ‚ÄěWir wissen, wann Sie zu Hause sind.‚Äú
    . . . . Googles Ausrede ist immer, dass es etwas nur mit Erlaubnis der Nutzer tue. Aber . . . selbst wenn ich mich dagegen entscheide, Gmail zu nutzen: Sobald ich an jemanden eine Mail schicke, der Gmail nutzt, hat Google zumindest die Möglichkeit mitzulesen. Wenn jemand meinen Telefonnummern, meinen Post- und E-Mail-Adressen in seine Google-Kontaktliste einträgt, kann Google wissen, wo ich wohne und wie ich zu erreichen bin. Und wenn sich jemand im Google-Kalender einen Termin mit mir einträgt, kann es wissen, wen ich wann wo treffe, ohne dass ich den Google-Kalender nutzen muss.

Darauf antwortet Eric Schmidt: ... √ľber das Gute an Google. Inhaltlich f√ľr m.E. nichts Neues.

Und dann kommt eine weitere Antwort von Springer Verlag: Warum wir Google f√ľrchten:

    . . . Unsere Geschäftsbeziehung ist die des Goliath Google zu dem David Axel Springer. Wenn Google einen Algorithmus ändert, bricht bei einem unserer Tochterunternehmen in wenigen Tagen der Traffic um 70Prozent ein. Das ist ein realer Fall. Und dass dieses Tochterunternehmen ein Wettbewerber von Google ist, ist dabei sicher Zufall.
    . . . 2009 haben Sie [Eric Schmidt] gesagt: ‚ÄěWenn es Dinge gibt, von denen Sie nicht wollen, dass irgendjemand etwas dar√ľber erf√§hrt, dann sollten Sie so etwas nicht tun.‚Äú Noch beunruhigender ist nur der Satz von Mark Zuckerberg, den er auf dem Podium der Sun-Valley-Konferenz sagte, w√§hrend Sie und ich im Publikum sa√üen. Jemand fragte, wie es Facebook mit der Speicherung von Daten und dem Schutz der Privatsph√§re halte. Und Zuckerberg sagte: ‚ÄěIch verstehe Ihre Frage nicht. Wer nichts zu verbergen hat, hat auch nichts zu bef√ľrchten.‚Äú

Und dann wird es richtig beunruhigend:

    16 Jahre Datenspeicherung [durch Google] und 16 Jahre Erfahrung von Zehntausenden IT-Entwicklern haben einen Wettbewerbsvorsprung erzeugt, der mit rein √∂konomischen Mitteln nicht mehr einholbar ist. Seitdem Google ‚ÄěNest‚Äú gekauft hat, wei√ü Google noch genauer, was die B√ľrger in den eigenen vier W√§nden tun. Und jetzt plant Google auch noch fahrerlose Autos, um langfristig auch der Autoindustrie von Toyota bis VW Konkurrenz zu machen. Dann wei√ü Google nicht nur, wohin wir mit unseren Autos fahren, sondern auch noch, womit wir uns beim Autofahren besch√§ftigen. Vergesst Big Brother ‚Äď Google ist besser!
    Vor diesem Hintergrund beunruhigt es mich sehr, dass Google ‚Äď das gerade die √úbernahme des Drohnen-Herstellers ‚ÄěTitan Aerospace‚Äú gemeldet hat ‚Äď seit einiger Zeit als Unterst√ľtzer geplanter riesiger Schiffe und schwimmender Arbeitswelten gilt, die auf offenem Meer, also in staatenlosem Gew√§sser, kreuzen und operieren k√∂nnen. Was ist der Grund f√ľr diese Entwicklung? Man muss kein Verschw√∂rungstheoretiker sein, um das beunruhigend zu finden, vor allem, wenn man den Worten des Google-Gr√ľnders und Gro√üaktion√§rs Larry Page zuh√∂rt.
    Er tr√§umt von einem Ort ohne Datenschutzgesetze und ohne demokratische Verantwortung. ‚ÄěEs gibt eine Menge Dinge, die wir gern machen w√ľrden, aber leider nicht tun k√∂nnen, weil sie illegal sind‚Äú, verk√ľndete Page schon 2013. ‚ÄěWeil es Gesetze gibt, die sie verbieten. Wir sollten ein paar Orte haben, wo wir sicher sind. Wo wir neue Dinge ausprobieren und herausfinden k√∂nnen, welche Auswirkungen sie auf die Gesellschaft haben.‚Äú
    . . . Es könnte sein, dass es gar nicht mehr so lange dauert, bis immer mehr Menschen erkennen, dass die Währung des eigenen Verhaltens einen hohen Preis fordert: die Freiheit zur Selbstbestimmung. Und es deshalb besser und billiger ist, mit etwas ganz Altmodischem zu zahlen: einfach nur mit Geld [statt mit seinen Daten].

Ich pers√∂nlich teile die √Ąngste der Manager vom Axel Springer Konzern: Google bedroht nicht nur die europ√§ische Industrie, sondern auch die Freiheit jedes Einzelnen. Die Macht, die durch die gigantische Datensammlung und die Kontrolle √ľber die Algorithmen entstanden ist, ist eine zu gro√üe Versuchung, als dass sie nicht missbraucht w√ľrde.

Diese Website hier berichtet √ľber die bis zu 500 Algorithmus-√Ąnderungen pro Jahr. Der Such-Algorithmus ist st√§ndig im Fluss und durch die Personalisierung nicht wirklich verifizierbar.

Eine interessante Geschichte: in 2015 wird bekannt, dass in 2013 die US Wettbewerbsbeh√∂rde FTC fast Aktivit√§ten gegen Google gestartet h√§tte, aber dass wurde es wieder abgeblasen, komisch. Zitat: "In dem 160-Seiten-Akt werfen FTC-Pr√ľfer Google vor, wettbewerbsverzerrende Taktiken angewandt zu haben und eine Monopolstellung auszunutzen. So sei sowohl Internetnutzern als auch Konkurrenten Schaden entstanden."

2012: Eine sehr lesenswerte Serie von Robert Epstein: Why Google Should Be Regulated. Ebenso dieser Artikel US-Professor warnt: Google-Algorithmus kann Demokratie gefährden. Robert Epstein wirft viele der Probleme auf, die ich in Manipulation durch Algorithmen auch dargestellt habe.

2015: BloombergBusiness berichtet sehr ausf√ľhrlich √ľber die gesamte Entwicklung des Antitrust-Verfahrens gegen Google: Google's $6 Billion Miscalculation on the EU.



1.1.2006 - Google, andere Suchmaschinen und Privatsphäre

Ende 2005 gab es in der Fachpresse einige Diskussionen zu Google und Privatsph√§re. Ausgel√∂st wurde die Diskussion wohl durch die Nutzung von Google-Suchbegriffen als Beweise im Rahmen eines Mordprozesses (Boston Globe berichtete). In diesem Fall wurden die Suchbegriffe im Cache des Beschuldigten gefunden, aber Google h√§tte die Suchbegriffe auf Grund eines Gerichtsbeschlusses auch herausger√ľckt (siehe Datenschutzerkl√§rung von Google).

In den USA brauchen die Beh√∂rden daf√ľr aber nicht mal einen Gerichtsbeschluss, es gen√ľgt ein sog. Security Letter, z.B. vom FBI. In den Blogs wird diskutiert, ob es z.B. m√∂glich ware, die "search history" im Rahmen eines Scheidungsverfahren einzuklagen, z.B. wenn es darum geht, wem das Sorgerecht f√ľr die Kinder zugesprochen wird. Ob dies in Deutschland oder √Ėsterreich m√∂glich w√§re, habe ich Zweifel, aber wer kann sich schon sicher sein.

Das heißt, dass alles was wir in Google als Suchbegriff verwenden, auch gegen uns verwendet werden kann. Und die Suchbegriffe stehen direkt in der URL drin, z.B. als "https://www.google.com/search?q=phishing+kits" (sucht nach "Phishing Kits").

Googles Datenschutz-bestimmungen sind √ľbrigens recht "locker" verfasst (Link siehe oben). Google sagt, sie speichern alles und geben es nicht weiter, au√üer die Beh√∂rden verlangen die Informationen und haben die entsprechenden Dokumente nach dem jeweiligen Recht. Die Suchbegriffe werden mit IP-Adresse gespeichert, aber nur dann mit dem Namen Namen des Nutzers verkn√ľpft, wenn dieser seinen Namen und andere Angaben freiwillig an Google weitergegeben hat, z.B. im Rahmen der Er√∂ffnung eines Gmail-Kontos. Tja, so einfach ist das. Ein Blogger zitiert aus der US-Privacy Erkl√§rung: "We have a good faith belief that access, use, preservation or disclosure of such information is reasonably necessary to (a)...... or (d) protect against imminent harm to the rights, property or safety of Google, its users or the public as required or permitted by law ". Das klingt so, als ob Google nicht nur bei gesetzlichem Zwang bereit ist, Informationen √ľber die Kunden preis zu geben, sondern immer dann, wenn z.B. jemand sagt, dass seine (intellectual) Property-Rechte in Gefahr sind, z.B. die Musikindustrie im Fall von Raubkopien.

Shumeet Baluja - Silicon Jungle

Dieses Thema ist auch Hintergrund in einem Krimi √ľber eine gro√üe Suchmaschinenfirma, die auch Email-Dienste, Messaging und sogar ein Handy-Betriebssystem anbietet. Selbst f√ľr uns, die wir wissen, dass diese Firmen ALLES speichern, bietet der Krimi mit seinen weitergedachten Details dann doch wieder erschreckende Erkenntnisse.

Und hinten auf der R√ľckseite steht als Empfehlung:
Vint Cerf: Google Vicepresident: "Glaubw√ľrdig und erschreckend"
Shumeet Baluja arbeitet √ľbrigens bei Google

Der Artikel in der Boston Globe (Link siehe oben) erwähnt eine interessante Satire aus dem Jahr 2004 "EPIC 2014": It is a short, dystopian picture of the next 10 years. EPIC stands for the Evolving Personalized Information Construct. In this grim view of the near future, Google merges with Amazon and becomes ''Google-zon," the ultimate information market monopoly. By 2014, the press as we know it no longer exists. Google-zon usurps the press's advertising base by ultra-customizing all ads. There is no longer the traditional craft of reporter or editor. Newspapers go out of business or become small niche products." Hier das Video.

Der Tenor des urspr√ľnglichen Artikels in der NY Times war, dass Google, als eine Firma, deren Motto "You can make money without doing evil" ist, sollte eine Vorreiterrolle beim Schutz der Privatsph√§re √ľbernehmen und z.B. die pers√∂nlichen "search histories" nicht l√§nger aufheben, als f√ľr die Erstellung von zusammengefassten Statistiken n√∂tig ist. Durch das unendliche Sammeln von Informationen √ľber jeden Benutzer f√ľhrt Google die Beh√∂rden und andere in Versuchung, diese Informationen anfordern zu wollen.

Hier auf Deutsch zum Thema Google, mit Vorschl√§gen zum Schutz (wie effektiv die sind, kann ich nicht genau beurteilen, bzw. habe ich meine Zweifel). Und nat√ľrlich ist das nicht nur ein Thema f√ľr Google, vermutlich speichern alle anderen Suchmaschinen auch alles was wir tun, und Amazon.com macht daraus auch keinen Hehl.

Erg√§nzung 10. J√§nner: Noch ein Aspekt, den heute ein Freund bemerkt hat: Firmen, deren Mitarbeiter √ľber google nach Informationen suchen oder √ľber Amazon nach Fachb√ľchern m√ľssen damit rechnen, dass die Konkurrenz Zugriff zu diesen Informationen bekommen k√∂nnte: die Logs liegen in den USA, die Beh√∂rden haben lockeren Zugriff und nationales Interesse ist in Patent-Fragen klar gegeben. Ein Beispiel wurde heute erw√§hnt: Philips-Mitarbeitern hatten zu einer Zeit, als amazon noch ver√∂ffentlicht hat, welche anderen Kunden √§hnliche B√ľcher bestellt haben, angezeigt, dass Philips-Mitarbeiter eine ganze Reihe von technischen B√ľchern bestellt hatten. Dadurch wusste die Konkurrenz, in welche Richtung dort gedacht und entwickelt wird. Diese Feature ist heute bei amazon zum Gl√ľck entsch√§rft worden.

Die Google-Logs

Ergänzung 23. Jänner 2006:
Die US-Regierung hat 1 Woche Abfrage-Logs von Google angefordert, sie wollen damit eine bessere Begr√ľndung f√ľr ein Anti-Pornographie-Gesetz finden. Die gute Nachricht: bisher hat sich Google geweigert, die Daten rauszur√ľcken und l√§sst sich auf Herausgabe verklagen. Die schlechte Nachricht: andere Search Engines haben die Daten bereits abgeliefert. (Die Marktanteile November 2005 lt. Nielsen//NetRatings: Google 46%, Yahoo 23%, MSN 11%.) -

Ergänzung/Präzisierung 26. Jänner 2006:
Die Regierung begn√ľgt sich (in diesem Fall) mit anonymisierten Log-Records, d.h. es werden (in diesem Fall) keine pers√∂nlichen Daten angefragt. Andererseits berichtet die NY Times vom 26.1.: "According to a 2004 decision of a federal court in Virginia, America Online alone responds to about 1,000 criminal warrants each month. AOL, Google and other Internet companies also receive subpoenas in divorce, libel, fraud and other types of civil cases. With limited exceptions, they are required by law to comply. Ms. Wong (von Google) said Google tried to notify users so they could object in court before the company turned over information about them. But the law forbids such notification in some criminal cases. .... The situation is more complicated outside the United States. Internet companies have complied with local laws, as they must to do business abroad. Yahoo, for instance, provided information that helped China send a journalist there to prison for 10 years on charges of leaking state secrets to a foreign Web site."

An anderer Stelle berichte ich √ľber Tipps zum Schutz der Privatsph√§re bei Suchmaschinen. Allerdings wird dadurch das Suchen auch deutlich erschwert.

Aktualisierung 28.11.2006:
Ein interessanter Artikel in MotherJones: Is Google Evil? Hintergrund dieser √úberschrift ist, dass Google sich irgendwann zwischen 1999 und 2001 das Motto "Don't be evil" gegeben hatte (Wikipedia hat einen ausf√ľhrlichen Artikel dazu, siehe voriger Link). Und im April 2018 hat Google diesen Grundsatz aus dem Vorwort ihres Code of Conduct entfernt und als Schlussatz platziert. Hier noch ein Artikel aus 2020 in dem ein Ex-Google Mitarbeiter sagt: "Don't be evil ist nur Reklame."

16.04.2007:
Google kann sich immer noch nicht dazu durchringen, die Logs irgendwann zu l√∂schen. Aber sie haben ihre Regeln auf Druck von Datensch√ľtzern jetzt zumindest so ge√§ndert, dass nach 18 bis 24 Monaten das letzte Byte der IP-Adresse entfernt wird und die Cookies √§hnlich teil-anonymisiert werden. Google adding search privacy protections. Das geht sicher in die richtige Richtung, aber mir w√§re es lieber, wenn sie gleich gel√∂scht w√ľrden. Wie leicht selbst anonymisierte Daten zur√ľckverfoglt werden k√∂nnen, zeigt der AOL-Skandal. Interessant dazu ist m.E. auch, dass Google als Begr√ľndung, warum sie die Originaldaten so lange aufbewahren, auf die EU-Data Retention Richtlinie hinweisen. Diese sagt aber nach meinem Verst√§ndnis nur etwas √ľber Zugangsdaten und nichts √ľber das Protokollieren und Aufbewahren von Suchanfragen:

23.05.2007:
Irgendwie ist es faszinierend. Heise.de berichtet von einem Interview des Google-CEOs, in dem er sagt

Ich habe gro√üe Zweifel, ob ich m√∂chte, dass Google (oder jemand anderes) mir Vorschl√§ge macht, welchen Job ich nehmen sollte und daf√ľr versucht, m√∂glichst viel √ľber mich zu lernen. Dass er sich traut, so etwas √∂ffentlich zu sagen, zeugt davon dass google offensichtlich Null Zweifel hat, dass wir alle das wollen.

14.06.2007:
Die NY Times berichtete im Mai √ľber einen Brief von 27 europ√§ischen Datenschutzbeauftragten, die Google warnen, dass sie mit der L√§nge ihrer Logaufbewahrung gegen Datenschutz versto√üen. Jetzt verk√ľndet Google, dass ihre Logs nach 18 Monaten anonymisert werden.

07.06.2007:
Noch eine Privatsphäre-Provokation von Google: Google Street View

07.07.2007:
Google kauft DoubleClick (genehmigt von der FTC in Dez. 2007), eine der ganz gro√üen Tracking Firmen im Internet, die √ľber Image Cookies die sie als Teil von Werbebannern verteilen, das Surfverhalten der Webnutzer analysieren. Die Kombination des notorischen Datensammlers Google mit einer Tracking Firma integriert 2 der ganz gro√üen Datenbanken und stellt ein weiteres potentielles Risiko f√ľr die Privatsph√§re dar (Daten, wenn sie erst mal existieren, erzeugen auch Begehrlichkeiten).

29.10.2007:
Dies hier betrifft nicht Google, sondern die Social Networking Website Facebook. Normalerweise kann ein Nutzer von Facebook nicht sehen, wer sein Profil abruft. Aber die Mitarbeiter von Facebook betrachten dies angeblich als einen der Vorteil ihres Jobs, dass sie ein bisschen in den Daten ihrer Kunden schn√ľffeln k√∂nnen. Und die Privacy Policy hat dies auch nicht ausdr√ľcklich verboten. Nun ja, ....

Ger√ľchte, dass Mitarbeiter f√ľr ihre Freunde (oder f√ľr sich selbst) schon mal etwas Vertrauliches √ľber die Kunden nachschauen, das h√∂rt man (leider) auch von anderen Unternehmen. In der EU ist dies ganz sicher eine Verletzung der Datenschutzgesetze. F√ľr Firmen ist es wichtig, solche Sachen nachvollziehen zu k√∂nnen (d.h. im Logfile einer Patienten-Datenbank sollte drin stehen, wer sich eine Patientenakte angeschaut hat, das gleiche gilt f√ľr die Call-Records bei einem Mobilfunkbetreiber) und dass im Rahmen eines Audits auch wirklich mal stichprobenhaft gepr√ľpft wird, wer auf pers√∂nliche Daten zugreift ohne dass es daf√ľr eine dienstliche Notwendigkeit gibt. Und die Mitarbeiter m√ľssen wissen, dass dies ein Dienstvergehen ist, das auch bestraft wird.

15.12.2007:
Ein neues Kapitel zu Google Analytics in meinem Text "Spuren im Internet".

21.03.2008:
Im Wiener Kurier stehen 2 kritische Artikel zum Anlass der Herausgabe des Buches Die Googlefalle. Hier die Artikel: Weltmacht Google: Das Geheimdossier (wo erw√§hnt wird, dass Google anscheinend auch Ambitionen hat, sogar die DNA seiner Kunden zu kennen, siehe Beteiligungen an PGP (Personal Genome Project) und 23andMe. Der 2. Artikel ist Google: Attacke auf den Offline-Markt, in dem es darum geht, dass Google das Erfolgskonzept von AdWords auch f√ľr Radio und Fernsehen umsetzt.

Aktualisierung 22.04.2008:
Die EU-Datenschutzarbeitsgruppe (Artikel-29-DPWG) hat ein Papier zum Thema Suchmaschinen verfasst: Opinion on data protection issues related to search engines. Kernpunkte sind, dass sie der Meinung ist, dass EU-Datenschutzrecht gilt. Und das hat die Auswirkung, dass die Rechte wie Auskunftsrecht, Recht auf L√∂schung und Korrektur auch f√ľr die Logs bei den Suchmaschinen gelten m√ľssen. Wenn die EU-Kommission auch nur einen Teil dieser angef√ľhrten Punkte in eine Regelung √ľberf√ľhrt steht den Searchengine-Betreibern eine gr√ľndliche Umstellung bevor, was Gesch√§fte mit Benutzerprofilen und zielgerichteter Werbung in Europa angeht. Ein Auskunfts- und L√∂schungsrecht f√ľr die Logs w√§re eine ziemliche Herausforderung f√ľr die Suchmaschinen. Sie k√∂nnen dies nur vermeiden, wenn sie die Daten sicher anonymisieren w√ľrden.

Google hat dazu eine Stellungnahme abgegeben, sie sehen das verständlicherweise anders.

Hier ein Artikel mit viel Hintergrund zum Datensammelwut von Google (Gartner-Studie): "Google is sitting on the biggest pile of information that has ever been collected in the world."

Und dazu Google CEO Eric Schmidt in einem Fernseh-Interview: "If you have something that you don't want anyone to know, maybe you shouldn't be doing it in the first place." Er ist der Meinung "it's important" that all . . . information could be made available to the authorities."

Aktualisierung 05.07.2008:
Ein Richter hat entschieden, dass Google (der Besitzer von Youtube) die Zugriffslogs f√ľr Youtube rausr√ľcken muss (die gesamten 4 Terabyte). Die Daten enthalten die IP-Adressen und die Nutzernamen (soweit bekannt) f√ľr alle Zugriffe. Hier die Details.

Aktualisierung 20.09.2008:
Google hat sich endlich dazu durchgerungen, ihre Logs "bereits" nach 9 Monaten zu anonymisieren. Die EU-Datensch√ľtzer fordern jedoch eine Anonymisierung nach 6 Monaten.

Aktualisierung 07.03.2009:
Google hat sich f√ľr ihren FriendFinder Service Latitude von der Electronic Frontier Foundation √ľberreden lassen, keine Logs zu schreiben und nur jeweils den allerletzten Aufenthaltsort zu speichern. Der Grund ist, dass Daten die nicht gespeichert sind, auch nicht angefordert werden k√∂nnen.

Aktualisierung Jan. 2010:
Im Rahmen der ganzen Aufregung um den Zugriff (evtl. der chinesischen Regierung ?) zu der √úberwachungsschnittstelle die eigentlich nur den US-Beh√∂rden zur Verf√ľgung stehen sollte wird auch immer wieder an die √Ąu√üerung von Google-Chef Erich Schmidt erinnert

Die Nutzer der vielen Google-Dienste, von der Suchmaschine, √ľber Google Maps, Gmail, "My Location" f√ľr mobile Ger√§te, Google Apps, etc. sollten sich dar√ľber bewusst sein, dass Google im Prinzip ALLES protokolliert, nur sehr wenig davon anonymisiert und diese Daten bereitwillig den Beh√∂rden anbietet (und so schlecht gesch√ľtzt, dass auch unauthorisierter Zugriff m√∂glich ist. Da kommt √ľbrigens bald noch ein weiterer Aspekt dazu den Google (oder Microsoft) √ľber uns lernen wird - n√§mlich den Stromverbrauch. Hier ein Vergleich von Google PowerMeter vs. Microsoft Hohm.

Hier ein interessanter (aber auch etwas erschreckender) Artikel √ľber den Umfang der Handy-Standortsabfragen in den USA. Ein Highlight:

Ich vermute, dass solche "tollen" Überwachungsmöglichkeiten sehr bald auch europäische Begehrlichkeiten wecken werden.

Aktualisierung März 2010:
Hier eine Zusammenstellung welche Daten Google von einem intensiven Google-Nutzer alles bekommt:

Aktualisierung Dez. 2010:
Google ist immer f√ľr eine Meldung gut: Wer sich die M√ľhe macht die Datenschutzbestimmungen bei Google n√§her anzusehen, wird feststellen, dass beim Kauf eines Handys und der Benutzung der Android-Software eine Verkn√ľpfung der Daten mit dem Google-Konto stattfindet. Es erfolgen nicht nur Informationen zum Standort, zum Akkustatus und zur Synchronisierung mit den Kontaktdaten, sondern auch eine umfassende Protokollierung von Suchanfrage, usw. Und das alles im Dienste der Optimierung f√ľr den Nutzer.

Aktualisierung Jan. 2012:
Die neue einheitliche Datenschutzerklärung

Google √§ndert seinen Umgang mit Nutzerdaten und will k√ľnftig alle Informationen, die man bei verschiedenen Diensten des Konzerns hinterl√§sst, gesammelt auswerten. Statt 70 verschiedenen Datenschutzerkl√§rungen wird es k√ľnftig f√ľr die Google-Dienste nur noch eine geben. Die Kommentatoren sind nicht begeistert. Auch hier: One policy, one Google experience, even more declarations of evil

Aktualisierung Mai 2012:
Es kommt jetzt etwas Licht in die Geschichte mit den WLAN-Daten, die im Rahmen von Google Streetview gesammelt wurde. Nein, die wurden nicht aus Versehen gesammelt, der Techniker der das programmiert hat ist bekannt f√ľr seine WLAN-Tricks, er hat die bekannte Software Netstumbler entwickelt und auch innerhalb von Google kommuniziert, was er vorhatte. Hier die Details in der NY Times: Engineer in Google Case Is Identified.

Aktualisierung Mai 2012:
Google ist schon wieder in die Schlagzeilen gekommen, und zwar damit, wie verzweifelt sie derzeit versuchen, Benutzer f√ľr Google+ zu k√∂dern. Sie verwenden dabei Tricks die wir von anderen Social Networks auch schon kennen: das Versenden von Einladungen im Namen von anderen Nutzern. D.h. sie lassen es so aussehen, als w√§re der Adressat von einer Person eingeladen worden die sich evtl. kr√§nkt, wenn die Einladung nicht angenommen wird, aber dazu muss der Benutzer erst mal Mitglied werden.

 


Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Nat√ľrlich gelten auch die Regeln des Fair Use und √ľber Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.