Krypto e.V.

Die thailändische Firma Vervata bietet seit kurzem mit Flexispy eine Schnüffelsoftware an, mit der man Symbian-Smartphones ausspionieren kann. Mit der Symbian-Software sollen etwa untreue Ehepartner überwacht werden können, indem die SMS-Kommunikation oder Telefonate abgehört werden. Eine finnische Sicherheitsfirma stuft die Applikation als Schadsoftware ein.

Die Software Flexispy speichert unter anderem die Rufnummern geführter Telefonate, protokolliert abgeschickte SMS sowie Internetverbindungen. Der Benutzer kann diese Informationen dann auf einer von Vervata angebotenen Website abfragen, zu der nur der Kunde Zugang haben soll, verspricht die Firma. Der Hersteller aus dem thailändischen Bangkok verkauft die Software für rund 50,- US-Dollar über die Webseite flexispy.com, die bei Redaktionsschluss nicht erreichbar war. Gleiches gilt für die Hersteller-Website, die ebenfalls derzeit aus unbekannten Gründen nicht verfügbar ist.

Das Sicherheitsunternehmen F-Secure stuft die Software als Trojanisches Pferd ein, weil der Gerätebesitzer von der Überwachung nichts merkt. In Kürze will F-Secure seine Virenscanner für Symbian so anpassen, dass diese Flexisky als Schädling erkennen.

Flexisky orientiert sich an ähnlicher Software für PCs, die die Internetnutzung aufzeichnen und verschickte E-Mails sichern. Vervata sieht daher auch nichts Anrüchiges an der Software: Im Gegensatz zu Viren und Trojanischen Pferden müsse das Programm explizit von einer Person installiert werden. Gegen Aufpreis bietet Vervata sogar die Möglichkeit, das überwachte Mobiltelefon unbemerkt anzurufen, um Telefonate zu belauschen.

Der thailändische Hersteller arbeitet bereits an einer neuen Version des Programms, die dann auch über das Smartphone verschickte E-Mails speichern können wird. Zudem ist eine Ausführung für BlackBerry-Geräte geplant. Quelle: Netzeitung.de

Mittlerweile haben alle 25 Mitgliedsstaaten die EU-Richtlinie zur Anerkennung von elektronischen Unterschriften in nationales Recht umgesetzt – nur der Gemeinschaftsgedanke ist dabei bislang auf der Strecke geblieben – eine grenzüberschreitende Anwendung der Technologie findet in der EU nach einer Untersuchung der EU-Kommission kaum statt.

Grund ist eine mangelnde Standardisierung. Dadurch haben sich bei Anwendungen elektronischer Signaturen zahlreiche Insellösungen ergeben, bei denen die Zertifikate nur für eine einzige Anwendung benutzt werden können.

In den kommenden Monaten will die EU-Kommission deshalb mit den Mitgliedsstaaten und Experten beraten und prüfen, ob es sinnvoll ist, eine stärkere Standardisierung im Bereich von elektronischen Unterschriften voranzutreiben. Bis Ende 2006 will die Kommission dann einen Bericht über mögliche EU-einheitliche Standards für elektronische Unterschriften vorlegen.

Neben der mangelnden grenzübergreifenden Benutzung sei auch die Zahl der Software, die elektronische Unterschriften nutzt, hinter den Erwartungen der EU-Kommission zurückgefallen.

Ein Grund, den der Bericht anführt, ist die Komplexität der PKI-Technologie, die beim Einsatz elektronischer Signaturen eingesetzt wird. Ein weiterer Grund sei der Aufwand bei der Archivierung elektronisch unterzeichneter Dokumente, der als zu komplex und unsicher gilt. Gesetzliche Verpflichtungen zur Aufbewahrung von Dokumenten bis zu 30 Jahre würden kostspielige und umständliche Techniken erfordern, um die Lesbarkeit und die Verifizierung während eines solch langen Zeitraums sicherzustellen.

Viviane Reding, Kommissarin für Informationsgesellschaft und Medien, sagte: “Es gibt noch viel zu tun, damit elektronische Unterschriften auch grenzüberschreitend anerkannt werden. Möglicherweise ist eine Anpassung der betreffenden EU-Richtlinien erforderlich, um auf technologische und wirtschaftliche Entwicklungen zu reagieren.”

Das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz soll sich künftig verstärkt der “digitalen Welt” widmen, kündigte der zuständige Bundesminister Horst Seehofer an. Die digitale Wirtschaft soll ein wesentlicher Schwerpunkt der Verbraucherpolitik des Ministeriums werden.

E-Commerce, digitale Telefonkommunikation, Voice over IP (VoIP), Digital Rights Management (DRM), RFID oder elektronische Kundenkarten würden in der Gesellschaft vielfach auf Skepsis und Misstrauen stoßen, so Seehofer: Schuld daran seien neben fehlendem Vertrauen in Sicherheit und Datenschutz und der wenig durchschaubaren Komplexität technischer Innovationen insbesondere die Missbrauchspotenziale, beispielsweise durch Identitätsdiebstahl. Diese führe letztendlich auch dazu, dass Verbraucher neue Möglichkeiten nicht nutzen.

Um aber das Potenzial der digitalen Technik und somit neue Innovationen zu ermöglichen und vollständig zu entfalten, bedürfe es gesellschaftlicher Akzeptanz, so Seehofer weiter. Die digitale Verbraucherpolitik soll daher für Schutz und Information sorgen sowie als Wegweiser bei Veränderungsprozessen dienen.

Konkret will Seehofer Spam weiter eindämmen und im Bereich der RFID-Chips eine freiwillige Selbstverpflichtungserklärung der Anbieter anstreben, damit die Kunden sicher sein können, dass nicht gegen ihren Willen Datenspuren ins Privatleben eindringen. Ähnliche Forderungen hatte kürzlich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, angemahnt.

Im Bereich der Kundenkarten soll Kunden die Sicherheit gegeben werden, dass ohne ihre ausdrückliche Einwilligung keine Datensammlungen und Auswertungen stattfinden.

“Wer sich langfristig Marktchancen und Innovationspotenziale sichern will, muss die Ängste und Befürchtungen der Verbraucher ernst nehmen”, so Seehofer. Nur wenn Verbraucher- und Anbieterinteressen im Gleichgewicht stünden, werde ein hohes Maß an Lebensqualität, Innovation und wirtschaftlichem Wachstum möglich.

Rechtexperten des Vereins zur Förderung des Deutschen Forschungsnetzes (DFN) halten die geplante Schaffung eines Auskunftsanspruchs gegen Internetprovider und die damit einhergehende standardmäßige Abfrage von Verbindungsdaten zur Verfolgung von Urheberrechtsverletzungen für verfassungswidrig. Dies geht aus einer aktuellen Stellungnahme (PDF-Datei) der vom Münsteraner Informationsrechtler Thomas Hoeren betreuten Forschungsstelle Recht im DFN hervor. Der entsprechende Gesetzesentwurf des Bundesjustizministeriums (PDF-Datei) weise “erhebliche strukturelle Mängel in Bezug auf die Berücksichtigung datenschutzrechtlicher Vorgaben” auf, heißt es in dem 8-seitigen Papier. Zudem seien sowohl “die strukturelle Gestaltung des Auskunftsanspruchs als auch die unbestimmte Fassung entscheidender Tatbestandsmerkmale geeignet, ein hohes Maß an Rechtsunsicherheit zu erzeugen”. Mehr…

Sobald die Staatsanwaltschaft die Herausgabe eines zuvor beschlagnahmten Rechners anordnet, darf die Polizei nicht eigenmächtig eine Kopie der Daten anfertigen. Dies hat jüngst das Verwaltungsgericht Lüneburg entschieden und der Klage eines Gegners der Castor-Transporte stattgegeben (Az. 3 A 141/04), weil das Vorgehen in keinem Verhältnis zur vermuteten Straftat stand. Die Verhältnismäßigkeit nach dem niedersächsischen Polizeigesetz hatte bereits voriges Jahr das Bundesverfassungsgericht beschäftigt. Damals erklärten die obersten Verfassungshüter die enthaltene präventive Telefonüberwachung für verfassungswidrig.

Auslöser der Klage war das Verschwinden von drei so genannten “trash people” des Künstlers HA. Schult. Die aus “Wohlstandsmüll” geformten und rund 1,80 Meter großen Statuen, die bereits am Matterhorn, an der Chinesischen Mauer auf dem Roten Platz von Moskau ausgestellt waren, wurden im Landkreis Lüchow-Dannenberg in einer Nacht-und-Nebel-Aktion entwendet. In einem von der Polizei aufgefundenen Bekennerschreiben teilten die Täter mit, dass die Aktion als Protest gegen die Castor-Tranporte zu verstehen sei; jedoch die “Figuren zu gegebener Zeit an einem geeigneten Ort wieder auftauchen würden”.

Elf Tage später fand die Polizei kurz nach Mitternacht in der Nähe der Bahngleise für den Castortransport eine der Statuen und zudem Plakate mit Castorbezug. Zwei Stunden später wurde der spätere Kläger in der Umgebung angetroffen, der der Polizei aufgrund vorangegangener Delikte wie gefährlichen Eingriff in den Bahnverkehr, Landfriedensbruch und Widerstand gegen Vollstreckungsbeamte bekannt war. Aus diesem Grunde und weil er ein Trassierband bei sich trug, wurde seine Wohnung durchsucht und unter anderem sein PC beschlagnahmt.

Kurz darauf teilte die zuständige Staatsanwaltschaft der Polizei mit, dass die Beschlagnahme nicht erforderlich sei und der Rechner dem Castorgegner ohne Durchsicht der Daten zurückgegeben werde müsse. Davon hielten die Polizeibeamten aber wenig und fertigten dennoch eine Kopie an, was sie dem Betroffenen auch schriftlich mitteilten.

Die dagegen erhobene Klage hatte Erfolg. Nach Auffassung des Gerichts lagen die Voraussetzungen des Paragrafen 31 Absatz 2 Nr. 1 des Niedersächsischen Gesetzes über die öffentliche Sicherheit und Ordnung (kurz Niedersächsisches Polizeigesetz) nicht vor, wonach Daten von der Polizei dann erhoben werden dürfen, wenn Tatsachen dafür sprechen, dass die betroffene Person künftig Straftaten begehen wird. Zu beachten sei dabei aber auch das Recht auf informationelle Selbstbestimmung und die Unschuldsvermutung. Allein die Tatsache, dass der Kläger mit einem Trassierband in der Nähe der Castor-Bahnstrecke angetroffen wurde, belege nicht hinreichend, dass er konkrete Straftaten begehen wollte, so das Verwaltungsgericht. Dieser Generalverdacht der Polizei verstoße darüber hinaus auch noch gegen das allgemeine Persönlichkeitsrecht.

Mangelnder Tatverdacht war auch Stein des Anstoßes für die Entscheidung des Bundesverfassungsgerichts im vorigen Jahr. Damals erklärten die Richter aus Karlsruhe den Paragrafen 33 a Absatz 1 Nr. 2 des Niedersächsischen Polizeigesetzes für verfassungswidrig. Genannte Regelung erlaubte der Polizei die Überwachung und Aufzeichnung von Telekommunikationsvorgängen bei solchen Personen, “bei denen Tatsachen die Annahme rechtfertigen, das sie Straftaten von erheblicher Bedeutung begehen werden, wenn die Vorsorge für die Verfolgung oder Verhütung dieser Straftaten auf andere Weise nicht möglich erscheint”. Die Verfassungsrichter werteten diese präventive Telefonüberwachung unter anderem als zu unbestimmt, da nicht genannt sei, ab wann eine “Straftat von erheblicher Bedeutung” vorliege. Quelle: heise.de

Im konkreten Fall hatte sich eine Richterin mit einer Verfassungsbeschwerde erfolgreich gegen die Anordnung der Durchsuchung ihrer Wohnung wegen des Verdachts der Verletzung von Dienstgeheimnissen gewandt. Im Rahmen der Durchsuchung war unter anderem auf die im Computer der Beschwerdeführerin gespeicherten Daten sowie auf die Einzelverbindungsnachweise ihres Mobilfunktelefons Zugriff genommen worden.

Der Zweite Senat des Bundesverfassungsgerichts hob mit Urteil vom 2. März 2006 zwar einstimmig die angegriffenen Beschlüsse des Landgerichts auf, kommt mit anderer Argumentation aber zum gleichen Ergebnis. Das Fernmeldegeheimnis sei nicht verletzt worden, da die Daten im Herrschaftsbereich des Kommunikationsteilnehmers lagen und somit nicht vom Schutzbereich des Art. 10 Abs. 1 GG umfasst würden. Die Daten seien jedoch durch das Recht auf informationelle Selbstbestimmung und gegebenenfalls durch das Recht auf Unverletzlichkeit der Wohnung geschützt. Beim Zugriff auf die bei dem Betroffenen gespeicherten Verbindungsdaten ist auf deren erhöhte Schutzwürdigkeit Rücksicht zu nehmen.

Im vorliegenden Fall sei die klagende Richterin in ihren Grundrechten verletzt worden, da die Durchsuchungsanordnung des Landgerichts dem Verhältnismäßigkeitsgrundsatz nicht hinreichend Rechnung trage. Der fragliche Tatverdacht und die erheblichen Zweifel an der Eignung der Durchsuchung stünden außer Verhältnis zu dem Eingriff in die Grundrechte der Beschwerdeführerin.

Beim Zugriff auf Verbindungsdaten, die in der Sphäre des Betroffenen gespeichert sind, fehle es an der Heimlichkeit der Maßnahme. Eine offene Maßnahme biete dem Betroffenen grundsätzlich die Möglichkeit, bereits der Durchführung der Maßnahme entgegenzutreten, wenn es an den gesetzlichen Voraussetzungen fehlt, oder aber zumindest die Einhaltung der im Durchsuchungsbeschluss gezogenen Grenzen zu überwachen, so das Bundesverfassungsgericht.

Der besonderen Schutzwürdigkeit der Telekommunikationsumstände werde dennoch Rechnung getragen und die Vertraulichkeit räumlich distanzierter Kommunikation auch nach Beendigung des Übertragungsvorgangs gewahrt, argumentiert das Bundesverfassungsgericht.

Nachtrag vom 2. März 2006, 15:08 Uhr:
Die betroffene Richterin begrüßte, dass der Durchsuchungsbeschluss als unverhältnismäßig gerügt wurde. Sie richtete Vorwürfe an das Landgericht Karlsruhe, das bei dem Durchsuchungsbeschluss die üblichen juristische Standards nicht eingehalten habe.

Justizministerin Brigitte Zypries (SPD) sagte, die Entscheidung sei ein “Sieg für die Strafverfolgungsbehörden”. Deren Praxis sei bestätigt worden. Lediglich die Beschlagnahme im konkreten Fall sei nicht in Ordnung gewesen. Dieser Einzelfall ändere aber nichts daran, dass die bestehenden Gesetze als verfassungsgemäß bestätigt worden seien.

Lob kam auch von der Gewerkschaft der Polizei (GdP). Die Beamten hätten jetzt Rechtssicherheit im Umgang mit gespeicherten Verbindungsdaten, sagte GdP-Chef Konrad Freiberg. Er forderte die Koalition auf, nun ein Gesetz zur Vorratsdaten-Speicherung zu verabschieden.

Der russische Virenspezialist Kaspersky hat vor dem ersten entdeckten Schadprogramm für Mobiltelefone gewarnt, das Java-Anwendungen ausführen kann. Der Virus mit dem Namen RedBrowser.a kann nicht nur Smartphones infizieren sondern alle Mobiltelefone, die die Java-Plattform unterstützen. Schädlich präsentiert sich der Trojaner dadurch, dass er SMS an kostenpflichtige Mehrwertnummer verschickt. Diese treiben mit fünf bis sechs Dollar pro Nachricht die Rechnung des Handybesitzers ordentlich in die Höhe.

RedBrowser täuscht dem User vor, ein Programm zu sein, mit dem kostenlos auf WAP-Seiten zugegriffen werden kann. Funktionieren soll dies durch den Empfang und den Versand kostenloser SMS, wird dem Handyanwender mitgeteilt. Tatsächlich sind diese Nachrichten aber keineswegs kostenlos sondern ergehen an kostenintensive Mobile Services. Einhandeln kann man sich die 53 Kilobyte große Java-Applikation natürlich via Internet. Des weiteren besteht die Übertragungsmöglichkeit per Bluetooth oder über den PC.

Derzeit kursiert RedBrowser im russischen Mobilnetz. Hauptziel sind Kunden der Mobilfunkbetreiber MTS, Beeline und Megafon. Eine Gefahr für heimischen Handys bestehe derzeit nicht. “Aktuell kann der Virus gar nicht in unseren Raum kommen, da er speziell für russische Netze programmiert ist”, so Elke Wößner, Sprecherin von Kaspersky Deutschland, im Gespräch mit pressetext. Unmöglich sei es jedoch nicht. “Es ist vielleicht nur eine Frage der Zeit bis Mutationen des Virus auch auf heimische Handynetze programmiert sein werden”, meint Wößner.

Bisher ist nur eine Modifikation des Virus bekannt, so Wößner. Die Kaspersky-Experten gehen jedoch davon aus, dass bereits weitere Versionen von RedBrowser existieren. Die Existenz des SMS-Virus sei ein Zeichen dafür, dass die Virenschreiber ihre mobile Reichweite erweitert haben und nicht mehr lediglich teure Smartphones im Visier haben. So schnell wie man sich den unliebsamen Gast eingefangen hat, so schnell ist er auch wieder loszuwerden. “Einfach das Programm im Application-Manager deinstallieren”, erklärt Wößner abschließend.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat Chancen und Risiken von Scoring-Systemen zur Beurteilung der Kreditwürdigkeit von Verbrauchern untersucht. Das Fazit bezeichnet das ULD als ernüchternd: In die Scoring-Systeme fließen Daten ein, die dort nichts zu suchen haben.

So stellen die Datenschützer die Frage, was Geschlecht, Familienstand, Alter, Zahl der Kinder, Wohndauer, Haushaltstyp und Kfz mit der Wahrscheinlichkeit zu tun haben, dass ein Kreditnehmer zukünftig nicht mehr tilgen kann. Beauftragt wurde das ULD dabei vom Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz.

Johann Bizer, stellvertretender Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), kommt zu dem Schluss: “Scoring-Systeme schematisieren und diskriminieren in aller Regel. Die Reduktion des Verbrauchers auf eine Nummer lässt außer Acht, dass die bloße statistische Ähnlichkeit mit einer anderen Person keinen tauglichen Hinweis auf seine zukünftige Zahlungsfähigkeit geben kann.” In aller Regel seien es unvorhersehbare individuelle Lebensumstände wie Arbeitslosigkeit, Scheidung oder Krankheit, die die wirtschaftliche Situation der Verbraucher beeinträchtigen, aber nicht das “Schema F eines Rechenprogramms”, so Bizer.

In der Praxis verstoße das Scoring häufig gegen das Datenschutzrecht, so das ULD in seiner Studie: Die Verbraucher würden nicht ausreichend über die Bedeutung des Scoring und seine Zusammensetzung informiert, die einschlägigen Rechtsgrundlagen werden nicht beachtet und Kreditanträge werden allein auf Grund eines negativen Scoring-Wertes automatisiert abgelehnt, ohne dass eine individuelle Prüfung erfolgt, kritisieren die Datenschützer.

Die Studie Scoring in der Kreditwirtschaft kann beim Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz kostenlos heruntergeladen werden.