Schleswig-Holstein steigt auf OpenSource um

Jan Philipp Albrecht hat als EU-Abgeordneter die DGSVO voran getrieben. Jetzt ist er unter anderem Digitalminister in Schleswig-Holstein und arbeitet am Umstieg auf OpenSource-Software.

Mit den Verträgen für proprietäre Software stoßen wir an unsere Grenzen. Erstens finanziell, weil die Lizenzgebühren in den vergangenen Jahren immer weiter angehoben wurden. Zweitens hinsichtlich unserer Ziele für die Digitalisierung der Verwaltung. Open Source bietet uns da einfach mehr Flexibilität. Gleichzeitig gelten all die Vorteile, die Open Source immer hat: Souveränität, Datensicherheit und Datenschutz.

Linux und LibreOffice sollen Microsoft-Produkte ersetzen, Jitsi ist bereits für Videokonferenzen im Einsatz. Das Interview ist bei heise online nachzulesen.

Kritik an der Luca-App

Die App Luca soll Kulturveranstaltungen auch in Zeiten einer Pandemie ermöglichen. Doch steht sie aus verschiedenen Gründen seit Wochen in der Kritik. Der luca Performance Monitor erfasst die tatsächliche Nutzung.

Digitale Werkzeuge seien bei der Kontaktverfolgung zu befürworten – jedoch nur unter Einhaltung der bereits seit einem Jahr festgelegten Grundprinzipien: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. Laut der Unterzeichnenden erfülle die Luca-App keine der Kriterien, die eine solche App brauche.

Sicherheitsforscher: Risiken der Luca-App „völlig unverhältnismäßig“

Erst wenn ein Infektionsfall eintritt und ein Veranstalter auf Anfrage seine Gästeliste freigibt, könne das Gesundheitsamt und niemand sonst die persönlichen Daten von eingecheckten Gästen sehen. Die Forscher:innen weisen darauf hin, dass sich dieses Versprechen mit dem derzeitigen Aufbau des Systems nicht halten lässt. Weil Nutzer:innen bei einem Check-in mit Luca nicht nur verschlüsselte Daten an den Server schicken, sondern auch ihre IP-Adresse und andere Informationen über ihr Handy übermitteln, lasse sich mit großer Wahrscheinlichkeit rekonstruieren, welches Gerät und letztlich welche Person sich hinter einer pseudonymen Nutzer-ID verbirgt.

Das zentrale Problem von Luca

Selbst wenn man Luca eine geringfügige Vorleistung zugesteht (…) rechtfertigen sie in keiner Weise die steuerfinanzierte Investition nördlich der 20 Millionen Euro. Gleichzeitig macht das Luca-System bei unabhängigen Prüfungen und im Testbetrieb bei weitem nicht den Eindruck, bereits fertig zu sein. Von Luca selbst ist bekannt, dass Vorleistungen konsequent in elastischen Preismodellen eingekauft werden. Dank des stümperhaften IT-Einkaufs durch einige Bundesländer wird das Geschäft für Luca also genau dann besonders profitabel, wenn es tatsächlich kaum jemand nutzt.

Warum im Voraus bezahlte Lizenzen eine schlechte Idee sind

(…) dass sich über eine bekannte Schwachstelle nicht nur Daten abgreifen lassen, sondern auch ein Verschlüsselungstrojaner ins System eines Gesundheitsamts eingeschleust werden könnte. (…) Es ist ein Angriffsvektor, wie man ihn etwa von Emotet-Infektionen kennt: Ein Sachbearbeiter klickt in einem für ihn völlig alltäglichen Arbeitsvorgangs eine Warnung des eingesetzten MS-Office-Programms weg und in der Folge wird sein Rechner mit Schadsoftware infiziert. Die kann dann dort Daten klauen und weitere Systeme infizieren. Tausende von Unternehmen, Organisationen und Behörden können ein Lied davon singen, was das bedeutet.

Gefahr für Gesundheitsämter: Luca-App ermöglicht Code Injection

(Bei der Abfrage von Daten) handle es sich um einen manuell ausgelösten Prozess. In der Regel frage aber keiner die Daten ab, da die Arbeitslast in den Gesundheitsämtern in den mehrfachen Corona-Wellen zu hoch sei. Sie wisse daher nicht, was Luca noch für einen Nutzen haben könnte bei den nun mit der Omikron-Variante zu erwartenden hohen Fallzahlen.

Expertin für Kontaktverfolgung: „Die Luca-App ist technologisch tot“

Urteil: Online-Zahlung muss ohne Preisgabe sensibler Daten kostenlos möglich sein

Vor vier Jahren deckten Reporter des NDR auf, dass bei der Nutzung der Bezahlmethode „Sofortüberweisung“ der Sofort GmbH „nicht nur der Kontostand abgefragt [wird], sondern auch die Kontoumsätze der vergangenen 30 Tage, ob weitere Konten beim selben Kreditinstitut vorhanden sind, Dispokredite und vorgemerkte Auslandsüberweisungen“. In einem Streit zwischen dem Bundesverband der Verbraucherzentralen und einer Tochterfirma der Deutschen Bahn urteilte das Landgericht Frankfurt nun zu Gunsten der Verbraucher, wie heise berichtet:

Die Frankfurter Richter sehen [im Einsatz von „Sofortüberweisung“ als einziges, ohne zusätzliche Gebühren nutzbares Zahlungsmittel] einen Verstoß gegen Paragraph 312 Bürgerliches Gesetzbuch (BGB) wonach der Verbraucher regelmäßig zumindest eine zumutbare Möglichkeit haben sollte, ohne Zusatzkosten zu bezahlen. Als Beispiel für gängige und akzeptable Möglichkeiten in dieser Hinsicht wertet das Gericht die Barzahlung, eine Zahlung mit EC-Karte, eine Überweisung oder einen Lastschrifteinzug. […] Abbuchungen über „Sofortüberweisung“ bleiben für die Richter außen vor. Sie begründen dies damit, dass der Verbraucher dafür einem Dritten sensible Kontozugangsdaten mitteilen und in den Abruf weiter Kontoinformationen einwilligen müsse.

Dementsprechend freut sich der Bundesverband der Verbraucherzentralen über seinen Erfolg.

Virenscanner ESET NOD32 Antivirus als Einfallstor

Wieder einmal zeigt sich die Ambivalenz bei der Nutzung von Anti-Viren-Software. Das Project Zero Team von Google hat eine Sicherheitslücke im Programm ESET NOD 32 entdeckt, die durch ein Update mittlerweile behoben ist. Über alle Betriebssysteme hinweg war es möglich ein Endgerät zu übernehmen. Erst vor wenigen Tagen war bekannt geworden, dass Geheimdienste Virenscanner als Einfallstor nutzen. Die IT-Nachrichtenseite Golem formuliert trefflich:

Der Nutzen von Anti-Viren-Software ist in jüngster Zeit ohnehin stark umstritten. Während die Programme zum einen vielfach nicht in der Lage sind, einen Angriff zu erkennen, stellen sie nach Ansicht des Sicherheitsforschers Joxean Koret zum Teil selbst ein Sicherheitsrisiko dar. Auch Ormandy fragt sich angesichts seiner Funde, ob die Risiken beim Einsatz von Anti-Viren-Programmen nicht größer seien als der Nutzen.

Sicherheitslücke öffnet Türschloss bei Fahrzeugen von BMW, Mini und Rolls Royce

Die Idee das eigene Auto mit dem Smartphone aufzusperren scheint einfach zu verlockend. Ungünstig nur, wenn dann auch Dritte in kurzer Zeit die Türen entriegeln können. Der ADAC, der die Lücke entdeckte, fordert einen Schutz nach branchenüblichen Standards und eine Zertifizierung solcher System beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik. Das kann man so verstehen, als würde BMW derzeit genau das nicht tun. Betroffen sind über zwei Millionen Fahrzeuge weltweit. Die Behebung der Sicherheitslücke wird nun via Mobilfunk von BMW vorangetrieben.

Nachtrag: Die c’t hat nun einen detailierten Artikel zu den Sicherheitsproblemen veröffentlicht.

Die Unsicherheit biometrischer Authentifizierungssysteme

Den Fingerabdruck oder die Iris als Sicherung etwa für das Smartphone oder den Computer zu nutzen ist offenbar eine eher schlechte Idee.

Beim ChaosCommunicationCongress Ende Dezember 2014 sprach starbug vom CCC über biometrische Authentifizierungssysteme und wie leicht diese, insbesondere mit Hilfe von Kameras zu überwinden sind. Der Hacker hatte bereits 2008 mit dem Hack des Fingerabdrucks von Bundesminister Wolfgang Schäuble für einen kritischen Umgang mit solchen Systemen geworben.

Besonders nützlich seien dabei die Kameras vieler Mobiltelefone, deren Qualität mittlerweile vielfältige Szenarien ermöglichen. So lassen sich beispielsweise über die Reflexion im Auge oder in einer Brille PINs oder Passwörter in Erfahrung bringen. Den Zugriff auf die Handykamera gestatten viele Nutzer bereits wenn sie zum Beispiel eine Taschenlampen-App installieren.

Auch Iriserkennungssysteme, wie sie etwa in Banken eingesetzt werden, lassen sich durch Ausdrucke auf handelsüblichen Druckern überwinden. Dabei ist nicht unbedingt ein Zugriff auf ein Smartphone nötig. Selbst mit Fotoaufnahmen aus mehreren Metern Entfernung oder abfotografierten Wahlplaketen sind die Forscher erfolgreich. Gleichsam lassen sich Fingerabdruck-Erkennungssysteme austricksen. Ein damals neues System dieser Art auf dem iphone 5S wurde von den CCC-Hackern bereits im September 2013 innerhalb von zwei Tagen geknackt.

Prominente Beispiele im Vortrag sind übrigens die Iris von Bundeskanzlerin Angela Merkel und der Fingerabdruck von Bundeministerin Ursula von der Leyen. Der Vortrag mit dem Titel „Ich sehe, also bin ich … Du“ ist als Aufzeichnung verfügbar.

KeePass-Integration: Thunderbird und KeeFox arbeiten zusammen

Seit einiger Zeit ist es möglich die Erweiterung KeeFox, die die Software zur Passwortverwaltung KeePass mit dem Browser Firefox verbindet, auch im E-Mail-Client Thunderbird einzusetzen. Dies ist noch nicht so komfortabel möglich wie im Mozilla Firefox, aber mit wenigen Schritten sind die Passwörter zum E-Mail-Konto sicherer abgelegt. Sollten die eigenen Passwörter nicht im Kopf oder anderweitig verfügbar sein, sollten diese zuvor notiert werden. Sie können über Einstellungen > Sicherheit > Gespeicherte Passwörter > Passwörter sichtbar gemacht werden.

  1. In Mozilla Thunderbird unter Einstellungen > Sicherheit > Gespeicherte Passwörter alle gespeicherten Passwörter löschen.
  2. Im Thunderbird unter Add-ons die Erweiterung KeeFox installieren. Den Thunderbird schließen.
  3. KeePass (und die eigene KeePass-Datenbank) öffnen und manuell die Zugangsdaten zu den einzelnen E-Mail-Konten eintragen. Jeweils einen neuen Eintrag erstellen und Benutzername und Passwort eingeben und unter URL eine beliebige Adresse (z. B. Ort der Webmail-Anwendung, sofern vorhanden) angeben. Unter dem Reiter KeeFox > URLs alle Serveradressen (z. B. pop.domain.tld, smtp.domain.tld) angeben.
  4. Die KeePass-Datenbank speichern.
  5. Thunderbird starten und einmalig den KeeFox-Code bestätigen, der angefordert wird. Dieser wird von KeeFox automatisch angezeigt.

Da die Passwörter zu den E-Mail-Konten Thunderbird nicht mehr vorliegen fragt das Programm diese nun bei jedem Start ab. KeeFox füllt – wenn alles glatt ging – die Abfrage automatisch aus und es muss lediglich mit Ok bestätigt werden. Diese Anleitung basiert auf einer Anleitung des KeeFox-Entwicklers.

Digitaler Frühjahrsputz – und wie ich ihn in Zukunft vorbeuge

Animiert von Gerrit bin ich seit der letzten Woche dabei die Flut an Zugängen zu allen erdenklichen Portalen zu sortieren und überflüssige zu löschen. Dabei mache ich leider immer wieder die Erfahrung, dass die „Account löschen“ – Funktion wohl bewusst (oder nicht?) nicht vorhanden, oder nur schwer zu finden ist. Aktuelles Beispiel: Netvibes. Hier ist eine Löschung nur via E-Mail an den Support möglich, und dann antworten die noch sowas:

For quality assurance reasons, please advise why you want your account canceled.

Wie gut, dass ich seit einiger Zeit konsequent bei der Registrierung erstmal das Firefox-Addon „spamavert.com“ nutze, bevor ich mich dauerhaft für oder gegen einen Zugang in diesem und jenem Portal entscheide. In 80% der Fälle gehe ich eh nur „mal gucken und testen“ und verabschiede mich dann wieder. Das tolle an der Erweiterung ist, dass ich nur mit Rechtsklick eine E-Mail-Adresse einfüge und sich im Hintergrund ein Tab öffnet, in dem dann z.B. die Aktivierungsmail erscheint. Geht natürlich auch von Hand via spamavert.com, aber so ist es wesentlich komfortabler. Eine gute Alternative zur Thematik ist auch noch BugMeNot. Mit entsprechender Erweiterung für Firefox lassen sich bei vielen Websites direkt Zugangsdaten eintragen, die bei BugMeNot zur freien Verfügung gestellt wurde. Das allerdings, ist dann wirklich nur zum „Nur mal schauen“ geeignet.

Nachtrag: spamavert.com wurde mittlerweile eingestellt. Es gibt aber viele Alternativen im Netz mit ähnlichem Angebot. Eine Suche nach Wegwerf-E-Mail-Adressen hilft weiter.

Weitgehend anonym mit Firefox durch die Google-Welt

Drei Möglichkeiten um weniger Daten während der Nutzung der reichthaltigen Angebote von Google herzugeben, will ich kurz notieren. Die Philosophie des Unternehmens ist ja weit verbreitet: Viele Daten über jeden Nutzer sammeln, um die Angebote zu optimieren – und Geld zu verdienen. Wer will es ihnen verdenken? Ich nicht, aber trotzdem sind die folgenden Erweiterungen für Firefox interessant.

Scroogle – Anonym suchen

Scroogle ist eine Möglichkeit, die Google Suchmaschine zu benutzen, ohne dabei seine IP zu hinterlassen und einen Cookie auf der Festplatte gespeichert zu bekommen. Der Dienst erledigt dabei für den Nutzer die Suchanfrage bei Google und gibt die Suchergebnisse wieder. Einziger Haken an der Sache: Die Daten werden nicht ganz im typischen Google-Design ausgegeben. Scroogle lässt sich sogar mit SSL-Verschlüsselung nutzen und via einem Klick in die Suchbox von Firefox integrieren.

Customize Google – Dienste anpassen

Mit Customize Google lassen sich die populärsten Angebote von Google konfigurieren. So lässt sich z.B. das Senden von Cookies an das Analysetool unterbinden oder die von Google angelegte Benutzerkennung anonymisieren. Außerdem kann die Klickverfolgung deaktiviert werden und automatisch eine sichere SSL-Verbindung z.B. bei der Nutzung von GoogleMail genutzt werden. Und nicht nur im Bereich Datenschutz hält die Erweiterung einiges bereit: So kann der Nutzer auf Aktivierung hin Links zu anderen Suchmaschinen im Suchergebnis anzeigen lassen oder Werbung ausblenden.

TrackMeNot – Google füttern

Eine Erweiterung, die derzeit von Studenten der New York University entwickelt wird, heißt TrackMeNot. Die Taktik ist, Google mit möglichst vielen Suchmaschinen zu bombadieren, damit die „echten“, durch den Nutzer eingegebenen Suchbegriffe nicht mehr von den durch die Erweiterung erstellten unterschieden werden können. Das ganze funktioniert übrigens auch bei MSN, Yahoo! und AOL. Wie erfolgreich die Software allerdings ist, kann ich schwer beurteilen. Die Entwickler geben selbst zu, dass die Erweiterung wohl nicht das ultimative Anonymisierungstool ist. Da sind die Möglichkeiten von „Customize Google“ wohl effektiver.

Passend dazu, dass heute bekannt wurde, dass der Google-Bot nun auch Formulare ausfüllen soll.