Krypto e.V.

Der Europäische Gerichtshof (EuGH) spricht sich gegen die Übermittlung von Flugpassagierdaten an US-Behörden aus. Die zu Grunde liegende Vereinbarung zwischen den USA und Europa ist mit dem Urteil des EuGH nichtig.

Nach den Terroranschlägen des 11. September 2001 erließen die USA Rechtsvorschriften, wonach Fluggesellschaften, die Flüge in die oder aus den Vereinigten Staaten oder über deren Gebiet durchführen, den amerikanischen Behörden einen elektronischen Zugriff auf die Daten ihrer automatischen Reservierungs- und Abfertigungssysteme, die so genannten “Passenger Name Records” (PNR), gewähren müssen.

Da die EU-Kommission der Auffassung war, dass diese Bestimmungen mit den Rechtsvorschriften der Gemeinschaft und der Mitgliedsstaaten über den Schutz personenbezogener Daten in Konflikt geraten könnten, nahm sie Verhandlungen mit den amerikanischen Behörden auf. Letztendlich kam es zu einer Entscheidung der EU-Kommission (Angemessenheitsentscheidung), mit der festgestellt wird, dass das United States Bureau of Customs and Border Protection (CBP) einen angemessenen Schutz für PNR-Daten gewährleistet.

Weder die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes dieser Daten durch die USA festgestellt wird, noch der Beschluss des Rates, mit dem ein Abkommen über deren Übermittlung an dieses Land genehmigt wird, beruhen aber nach Ansicht des EuGH (Urteil des Gerichtshofes in den verbundenen Rechtssachen C-317/04 und C-318/04) auf einer geeigneten Rechtsgrundlage. Geklagt hatte das Europäische Parlament unterstützt durch den Europäischen Datenschutzbeauftragten.

Da das Abkommen während eines Zeitraums von 90 Tagen nach seiner Kündigung wirksam bleibt, hat der Gerichtshof entschieden, aus Gründen der Rechtssicherheit und zum Schutz der betroffenen Personen die Wirkungen der Angemessenheitsentscheidung bis zum 30. September 2006 aufrechtzuerhalten. (Quelle: Golem.de)

Dass es um den Datenschutz bei Hilfebedürftigen nicht zum Besten steht, wurde schon des Öfteren bemängelt. Nun haben der Bundesbeauftragte für den Datenschutz sowie Landesdatenschutzbeauftragte den Bundestag und den Bundesrat aufgefordert, den “Entwurf eines Gesetzes zur Fortentwicklung der Grundsicherung für Arbeitsuchende” mit Blick auf das Recht auf informationelle Selbstbestimmung grundlegend zu überarbeiten.

Der Gesetzesentwurf wurde von der Regierungskoalition, bestehend aus CDU/CSU und SPD, gemeinsam in den Deutschen Bundestag eingebracht. Der Gesetzentwurf ist am 29. Mai 2006 Gegenstand einer Anhörung; die Beratungen in den Ausschüssen des Deutschen Bundestages sollen bereits am 31. Mai 2006 abgeschlossen werden. Die Datenschutzbeauftragten sehen damit den Datenschutz bei Arbeitslosen gefährdet und weisen darauf hin, dass das Recht auf informationelle Selbstbestimmung auch bei denjenigen gewährleistet bleiben muss, die auf staatliche Grundsicherung angewiesen sind.

Besonders kritisch sei die geplante “Beweislastumkehr” bei Personen, die in einer Wohnung zusammenleben, bemängeln die Datenschutzbeauftragten in ihrer gemeinsamen Erklärung. Arbeitslose sollen in Zukunft den Nachweis führen, dass keine “Bedarfsgemeinschaft mit gegenseitiger materieller Unterstützung” vorliege. Dies soll den im Sozialrecht geltenden Grundsätzen widersprechen, außerdem sei nicht klar, wie die Beweisführung seitens Arbeitsloser aussehen soll.

“Betroffene könnten sich genötigt sehen, zum einen ihre Leistungsbedürftigkeit Mitbewohnerinnen oder Mitbewohnern und damit Dritten zu offenbaren, zum anderen deren sensible Daten preiszugeben. Dafür gibt es keine Rechtsgrundlage”, so die Datenschutzbeauftragten. “Eine solche exzessive Datenerhebung wäre datenschutzrechtlich nicht hinnehmbar.”

Bedenklich sei auch die geplante Erweiterung der automatisierten Datenabgleiche und die Schaffung der diversen Auskunftsmöglichkeiten bei anderen Behörden, beispielsweise beim Kraftfahrtbundesamt. Rein präventive Routineauskunftsersuche werden von den Datenschutzbeauftragten als unverhältnismäßig abgelehnt.

Auch die geplanten Regelungen zu Telefonkontrollen der Arbeitssuchenden durch private Call-Center, Unklarheiten bei den Vorschriften zu Hausbesuchen und die Abgrenzung der datenschutzrechtlichen Zuständigkeiten zwischen Bund und Ländern stoßen auf Kritik.

Zulässig seien solche Eingriffe nur, wenn sie im vorrangigen öffentlichen Interesse tatsächlich notwendig und verhältnismäßig sind. Der Gesetzentwurf enthalte aber keine Begründung, weshalb ein regelmäßiger Datenabgleich hinter dem Rücken der Betroffenen erforderlich sein soll. Belege dafür, dass die vorhandenen Befugnisse zur notwendigen Bekämpfung von Leistungsmissbrauch tatsächlich unzureichend sind, würden zudem fehlen.

Arbeitslose dürften nicht unter Generalverdacht gestellt werden, heißt es in der Erklärung, derartiges sei mit dem Menschenbild des Grundgesetzes nicht zu vereinbaren. Dass einige von ihnen Leistungen erschleichen wollen, rechtfertige diese Maßnahme nicht. Weiterhin würden Unklarheiten der Zuständigkeitsverteilung zwischen der Bundesagentur für Arbeit und den Arbeitsgemeinschaften (ARGEn) noch verfestigt und eine effektive Datenschutzkontrolle würde durch die geplante Regelung unmöglich.

Die an den Deutschen Bundestag und den Bundesrat gerichtete gemeinsame Erklärung stammt vom Bundesbeauftragten und den Landesbeauftragten für den Datenschutz der Länder Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen-Anhalt, Schleswig-Holstein und Thüringen.

Der von den Koalitionsfraktionen in den Deutschen Bundestag eingebrachte Gesetzentwurf (Bundestags-Drucksache 16/1410) soll nach den Plänen der Politiker bereits am 1. August 2006 in Kraft treten. Wichtigstes Ziel dabei ist, die stark gestiegenen Kosten der Hartz-IV-Reform durch eine verstärkte Kontrolle aller Arbeitsuchenden merklich zu begrenzen. (Quelle: Golem.de)

Die Menschenrechtsorganisation Amnesty International hat eine Kampagne gegen Internetzensur gestartet. “Be irrepressible” heißt die Aktion, die Regierungen und große IT-Firmen dazu aufruft, keine Informationen zu sperren, die sich über das Netz verbreiten. Mit einer Unterschriftenaktion will Amnesty International ein Zeichen setzen.

Chatrooms werden überwacht, Blogs gelöscht, Webseiten blockiert und Suchmaschinenergebnisse gefiltert. Oft werden Leute gar verhaftet, wenn sie nicht regierungskonforme Informationen veröffentlichen. So beginnt die Einleitung der Kampagne. Auf der Website kann der politisch Interessierte weitere Details über nachgewiesene Zensur und daraus resultierende Verfolgung nachlesen und sich damit selbst ein Bild der aktuellen Lage machen.

Yahoo muss sich den Vorwurf gefallen lassen, durch die Preisgabe von Kontendaten die Strafverfolgung chinesischer E-Mail-Benutzer erleichtert zu haben. So soll der chinesische Journalist Shi Tao seit zehn Jahren im Gefängnis sitzen, weil er unerlaubte Informationen über den Yahoo-Mail-Dienst verschickt haben soll. Angeprangert werden auch Google und Microsoft wegen ihrer Bereitschaft, Webangebote für chinesische Surfer aktiv zu zensieren. Zu weiteren Ländern mit Internetbeschränkungen gehören laut Amnesty International Burma, Bahrein, Iran, Jemen, Saudi-Arabien, Singapur, Tunesien und Weißrussland.

Bis dato haben bereits knapp 8.000 Menschen den Aufruf von Amnesty International unterzeichnet. Wenn im November 2006 die Vereinten Nationen mit Beteiligung von Regierungen und Unternehmen aus aller Welt die Zukunft des Internets diskutieren, will die Menschenrechtsorganisation den unterzeichneten Aufruf vorlegen.(Quelle: Golem.de)

Das Parlamentarische Kontrollgremium (PKG) der Geheimdienste im Bundestag hat den Bericht ihres Sonderermittlers Gerhard Schäfer über die BND-Spitzelaffäre zumindest zu einem großen Teil im Internet veröffentlicht. Er findet sich unter der Adresse www.bundestag.de (PDF-Datei, ca. 8,7 MB).

Die Überwachung durch den BND zum Aufspüren eines Sicherheitslecks in den eigenen Reihen sei “ganz überwiegend rechtswidrig” gewesen, stellt der ehemalige Bundesrichter Schäfer in seinem Gutachten fest. Auch seien Journalisten als Spitzel mit dem Ziel geführt worden, “Informationen, Informanten und redaktionelle Hintergründe auszuforschen.” In manchen Fällen sei auch dies rechtswidrig gewesen. Der Bericht beruht auf BND-Unterlagen und Auskünften einzelner Personen. Demnach hatte der BND ab den 90er Jahren bis zum Jahre 2005 Journalisten bespitzelt.

Die Veröffentlichung des 179 Seiten langen Berichts hatte sich bis zum Abend verzögert. Schäfer und das Parlamentarische Kontrollgremium hatten den Tag über Einwände und Ergänzungsvorschläge Betroffener in den Bericht eingearbeitet. Außerdem mussten auf Anordnung des Berliner Verwaltungsgerichts personenbezogene Daten über einen “Focus”-Redakteur unkenntlich gemacht werden.
Entschuldigung des BND

BND-Chef Ernst Uhrlau entschuldigte sich für die Bespitzelung von Journalisten durch seinen Dienst. Er sei sich sicher, dass viele Mitarbeiter des Auslandsgeheimdienstes Schäfers Bewertung teilten. Der BND werde in angemessener Zeit Vorschläge für organisatorische Veränderungen und Anpassungen vorlegen, um eine Wiederholung derartiger Vorgänge zu verhindern.
Bundesregierung: Ermittlungen beim BND

Als Konsequenz aus der Affäre wird gegen mehrere aktive und ehemalige Mitarbeiter des Geheimdienstes disziplinarisch ermittelt. Das geht aus der Stellungnahme der Bundesregierung zu dem Untersuchungsbericht hervor, die auf ihrer Homepage veröffentlicht wurde. Demnach hat der BND inzwischen den “Auftrag für disziplinare Einzelfallermittlungen” erteilt. Die BND-Leitung wird jedoch nicht verantwortlich gemacht. Die Bundesregierung räumt allerdings ein, dass die Bespitzelung von Journalisten durch den BND überwiegend rechtswidrig war und kündigt auch organisatorische Konsequenzen an.

Opposition fordert weitere Aufklärung
Die Linksfraktion kritisierte, der Schäfer-Bericht kläre nicht, ob es gegen Journalisten auch illegale Abhör-Aktionen gegeben habe. Auch die Frage nach einer Verwicklung des Kanzleramts in die Affäre sei weiter offen. Innenexpertin Ulla Jelpke sprach vom größten Angriff auf die Pressefreiheit seit der “Spiegel”-Affäre 1962. “Es ist inzwischen nur noch schwer vorstellbar, dass diese Fragen ohne einen Untersuchungsausschuss geklärt werden können”, sagte sie.

Auch der Grünen-Politiker Hans-Christian Ströbele forderte, die Verantwortlichkeiten in der BND-Spitze sowie im Kanzleramt müssten rückhaltlos geklärt werden. Dabei werde ein Untersuchungsausschuss immer wahrscheinlicher. “Denn nach den widersprüchlichen Auskünften von Beteiligten erscheint eine verlässliche Feststellung der persönlichen Verantwortlichkeiten nur in einer förmlichen Beweisaufnahme möglich”, erklärte er. Hierüber sollten sich die Fraktionen in der kommenden Woche verständigen.

Die FDP äußerte sich etwas zurückhaltender, schloss aber ebenfalls einen Untersuchungsausschuss nicht aus. Der Bericht des Schäfers zeige, dass es sich bei der überwiegenden Zahl der Fälle um klar rechtswidrige Eingriffe in die Pressefreiheit handle, erklärte das FDP-Mitglied im Geheimdienstausschuss, Max Stadler.(Quelle: Tagesschau.de)

PGP-Erfinder Philip Zimmermann hat seine Zfone getaufte Anwendung zur Verschlüsselung von Internet-Telefonaten (Voice over IP) nun auch in einer Version für Windows veröffentlicht. Anders als bei PGP setzt Zfone nicht auf öffentliche Schlüssel und Zertifizierungsstellen, sondern wickelt die Schlüsselüberprüfung direkt zwischen den Clients ab.

Während bei der E-Mail-Verschlüsselung Keyserver zum Einsatz kommen und Zertifizierungsstellen die Gültigkeit von Schlüsseln bestätigen, ist Zfone unabhängig von solch einer Infrastruktur. Auch von Protokollen wie SIP und den verwendeten Servern soll Zfone unabhängig sein. Dafür erfolgt die Verschlüsselung direkt zwischen den einzelnen Zfone-Clients im Peer-to-Peer- Verfahren.

Jedoch ist Zfone keine eigenständige VoIP-Applikation, sondern nur eine Ergänzung für solche Programme. Der gestartete Zfone-Client fängt alle VoIP-Pakete ab, verschlüsselt bzw. entschlüsselt diese und leitet sie anschließend weiter. Dabei soll die Software neue Anrufe automatisch erkennen und informiert den Anwender in einem kleinen Fenster darüber, ob die aktive Verbindung gesichert ist.

Das der Software zu Grunde liegende Protkoll ZRTP nutzt einen Algorithmus für öffentliche Schlüssel ohne Public-Key-Infrastruktur (PKI). Zudem werden keine gleichbleibenden Schlüssel verwendet und ZRTP soll laut Zimmermann Man-in-the-Middle-Angriffe aufspüren und verhindern können. Am Ende eines Telefonats werden die Schlüssel zerstört, so dass auch abgefangene Schlüssel wertlos wären. Sämtliche Authentifizierungen wickelt Zfone Peer-to-Peer über das Real-Time Transport Protocol (RTP) ab.

Die Windows-Version von Zfone steht nach vorheriger Registrierung zum kostenlosen Download bereit. Weiterhin sind auch die Versionen für Linux und MacOS X verfügbar. Es handelt sich jeweils noch um Beta-Versionen von Zfone.

Normalerweise warnen Softwarehersteller von Antivirenprogrammen vor Phishing-Attacken, doch diesmal hat das Bundeskriminalamt (BKA) eine Warnung herausgegeben. Ob dies nun auf die besondere Brisanz der Angriffe schließen lässt, sei dahingestellt. Gewarnt wird allerdings vor einer Masche, die eine Verquickung von Onlinebetrug und Telefon-Banking zum Inhalt hat.

Die Ausspähversuche richten sich gegen Kunden der Postbank, wobei in E-Mails die Empfänger aufgefordert werden, auf einen in der E-Mail enthaltenen Link zu klicken, der auf Server vornehmlich im asiatischen Raum führt. Auf diesen Rechnern haben die Täter eine gefälschte Onlinebanking-Seite der Postbank untergebracht.

Auf der Betrüger-Website wird man aufgefordert, neben seiner Kontonummer und der Onlinebanking-PIN auch die PIN für das Telefonbanking einzugeben. Da für das Telefonbanking Kontonummer und PIN ausreichen, entfällt die bisher im Zusammenhang mit Phishing bekannt gewordene Ausspähung von Transaktionsnummern.

Die Täter versuchen offenbar, mit Hilfe des Telefonbanking-Services der Postbank Gelder zu erschleichen. Die Postbank hat nach Auskunft des BKA bereits reagiert und fragt nach dem Zufallsprinzip weitere Legitimationsmerkmale des Anrufers ab. Dass höhere Überweisungen nicht automatisiert, sondern von Mitarbeitern persönlich bearbeitet werden, soll zudem Schutz bieten.

Das gesetzeskonforme Archivieren von E-Mails wird in vielen deutschen Unternehmen trotz eindeutiger Regelungen immer noch vernachlässigt. Das berichtet die Computerwoche, die eine Umfrage zu diesem Thema durchführte.

Nach dem Studienergebnis würden rund zwei Drittel (64 Prozent) der Firmen nach wie vor keine innerbetrieblichen Bestimmungen aufgestellt haben, wie elektronische Daten – und hier insbesondere die E-Mail-Kommunikation – aufbewahrt werden.

Allerdings sind Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen schon seit Anfang 2002 in Kraft. In diesen schreibt das Bundesfinanzministerium vor, dass Unternehmen in der Lage sein müssen, sämtliche steuerrelevante Daten maschinell auswertbar zur Verfügung zu stellen. Dafür ist eine zehnjährige Archivierung vorgesehen, für sonstige Unterlagen gelten sechs Jahre.

Unternehmer sind nicht nur dazu verpflichtet, E-Mails gesetzeskonform zu archivieren. Sie müssen auch gewährleisten, dass alle betriebswirtschaftlich und steuerrechtlich relevanten E-Mails samt deren Anhängen jederzeit verfügbar gemacht werden können.

Wem als verantwortlichem Mitarbeiter mangelnde Pflichterfüllung nachgewiesen wird, riskiert arbeitsrechtliche Probleme – beim Unternehmen selbst kann es bei lückenhafter Dokumentation im schlimmsten Fall zu einer Zwangsschätzung der Unternehmenswerte durch das Finanzamt kommen.(Quelle: Golem.de)

Die Free Software Foundation (FSF) hat unter dem Namen “Defective By Design” eine neue Anti-DRM-Kampagne gestartet. Begleitet wurde der Start der Kampagne und der dazugehörigen Webseite von einer Protestaktion zur Eröffnung von Microsofts Hausmesse WinHEC in Seattle.

Die Free Software Foundation möchte mit der Kampagne “Defective By Design” Leute ansprechen, die über einen entsprechend technischen Hintergrund verfügen und sich aktiv gegen DRM einsetzen wollen. Laut Peter Brown, Geschäftsführer der FSF, müsse etwas gegen die Medien, Gerätehersteller und Softwareanbieter getan werden, die versuchten, DRM in alle Computer zu bringen.

Viele Computer, Mobiltelefone und mobile Musikplayer seien bereits mit DRM ausgestattet und würden so die Rechte der Nutzer missachten, so Brown weiter. Über die Webseite DefectiveByDesign.org sollen künftige Aktionen koordiniert werden. Den Auftakt bildete ein Protest zur Eröffnung der Microsoft-Messe WinHEC, zu der sich Aktivisten in Schutzanzügen versammelten und Microsoft aufforderten, die “gefährliche” DRM-Technik zu entfernen.

Der Bundesrat zeigt sich mit dem umstrittenen Entwurf eines Gesetzes zur Regelung des Urheberrechts unzufrieden. Er weist darauf hin, dass das Urheberrecht bildungs- und wissenschaftsfreundlicher ausgestaltet werden müsse, andernfalls könnte es zu gravierenden Einschränkungen in der Nutzung von elektronischen Medien im Bereich der Hochschulen und Bibliotheken kommen. Auch der Zugang zu wissenschaftlichen Informationen könnte dank des geplanten Gesetzes verknappt und verteuert werden.

Laut Empfehlung des Bundesrates sollten öffentliche Bibliotheken Kopien als grafische Datei versenden dürfen, unabhängig davon, ob das Werk auch vom Verlag in elektronischer Form angeboten wird. Darüber hinaus müsse es dem Urheber vorbehalten bleiben, den Inhalt seines Werkes auch “bei Einräumung eines ausschließlichen Nutzungsrechts nach Ablauf von längstens sechs Monaten seit der Erstveröffentlichung unter bestimmten Voraussetzungen anderweitig öffentlich zugänglich zu machen”.

Der Bundesrat fordert zudem eine Klarstellung dahingehend, dass Kopien von im Internet öffentlich zugänglich gemachten Werken, die vom Rechteinhaber zugelassen wurden, nicht wie Privatkopien vergütungspflichtig sind. Auch die im Entwurf vorgesehene Begrenzung der Vergütungsansprüche des Urhebers gegen den Hersteller von Geräten und Speichermedien auf fünf Prozent des Gerätepreises bedarf nach Ansicht des Bundesrates einer Überprüfung.

Im Hinblick auf das Widerrufsrecht solle zudem bei der Übertragung zukünftiger Nutzungsrechte die im Entwurf statuierte Erkundigungspflicht des Urhebers durch eine Informationspflicht des Verwerters ersetzt werden. Weiterhin sollte ein Widerruf des Nutzungsrechts für unbekannte Nutzungsarten erst drei Monate nach Mitteilung über die beabsichtigte Nutzung ausgeschlossen sein.

Skype hat in seiner Telefonie-Software für Windows ein Sicherheitsloch ausfindig gemacht. Durch die Lücke kann von einem nicht aktualisierten Sykpe-System eine Datei übertragen werden, welche der Benutzer gar nicht versenden wollte.

Wie Skype in einem Sicherheitsbulletin schreibt, genügt dazu das Anklicken einer speziell präparierten Skype-URL. Solche URLs verwendet Skype unter anderem, um Kontaktdaten auszutauschen, die etwa per Mail verschickt werden. Dem Unternehmen zufolge reicht auch das Anklicken eines solchen Links auf einer Webseite.

Von bestimmten, nicht näher benannten Faktoren hängt dann ab, ob der ungefragte Dateitransfer stattfindet. Eine Rolle spielen laut Skype dabei auch die Autorisierungsverhältnisse des Skype-Clients, welcher die Datei abfragt, und die des Senders. Stimmt – im Sinne des Angreifers – dabei alles, öffnet sich auf dem betroffenen Rechner ungefragt ein Fenster zum Dateitransfer, den der Benutzer dann aber noch manuell abbrechen kann. Wird jedoch beispielsweise eine Passwort-Datei oder ein vertraulicher Text so abgerufen, können schon ein paar hundert Kilobyte übertragener Daten schnell zum Problem werden.

Betroffen sind laut Skype alle Windows-Versionen der Software inklusive 2.0.x.104 und der bisher aktuellen Version 2.5.x.78. Skype hat die Lücke durch die neuen Versionen 2.0.x.105 und 2.5.x.79 geschlossen. Einen eigenen Patch für einzelne Skype-Versionen gibt es nicht, es muss stets der komplette neue Client installiert werden, wobei aber immer die Einstellungen erhalten bleiben. Die neuen Clients sind auf der Downloadseite von Skype zu finden.