Rorschachs Tagebuch

Bundesregierung will Speicherung von IP-Adressen explizit erlauben Januar 14, 2009

Filed under: Gesellschaft,Recht,Sicherheit — Rorschach @ 18:42
Tags: , , ,

In einem neuen Gesetzesentwurf möchte die Bundesregierung durch Hinzufügen eines Absatzes 9 in den §15 des TMG die Speicherung von „Nutzungsdaten“ zukünftig für gewisse Zwecke explizit erlauben:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 und Satz 3 gilt entsprechend.

Unter Nutzungsdaten fallen natürlich auch IP-Adressen. Über diese gibt es nach wie vor eine rege Diskussion ob sie personenbezogene Daten sind (und deswegen nach §15 Abs.1 TMG nur und ausschliesslich zu Abrechnungszwecken gespeichert werden dürften) oder eben nicht. Die Bundesregierung will diese Diskussion nun auf diesem Wege beenden.

Mit dem neuen Absatz 9 klärt sie zwar nicht die Frage ob es sich bei IP-Adressen um personenbezogene Daten nun handelt oder nicht, aber sie macht die Diskussion darüber doch zumindest in weiten Teilen obsolet.

Interessant ist an der Lösung jedoch, dass auch hier schon wieder die Probleme losgehen. Auf www.ip-adressen-recht.de wird zurecht bemängelt, dass die Dauer der Speicherung der IP-Adressen sehr ungenau definiert ist da einfach nur auf den Absatz 8 des §15 TMG verwiesen wird:

[…] Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

Sprich sobald die Daten nicht mehr benötigt werden müssen sie gelöscht werden. Wenn sie also zum Beispiel um eventuelle DOS-Attacken abzuwehren gespeichert werden, dürften sie wohl maximal zwischen 1-10 Sekunde gespeichert werden. Denn bei einer DOS-Attacke werden Requests von einer IP wohl niemals weiter als 10 Sekunden auseinanderfallen. Wohlwollend könnte man das auf 60 Sekunden auslegen um auch unwahrscheinliche Fälle zu erfassen aber damit hat es sich auch schon. Andererseits lässt sich das aber wie bei http://www.ip-adressen-recht.de erläutert auch beliebig lange auslegen.

Alles in allem eine sehr unbefriedigende Lösung: Einmal weil die große Frage damit eher umschifft als beantwortet wurde, zum anderen weil diese Lösung anstatt die Sache entgültig zu klären noch mehr Fragen aufwirft und natürlich nicht zuletzt weil die Speicherung von IP-Adressen generell eine schlechte Sache ist und einiges an Mißbrauchspotential wie Usertracking mit sich bringt.

Die Bundesregierung hat aus den zahlreichen, in den letzten Monaten an die Öffentlichkeit gelangten Fällen des Datenmißbrauchs anscheinend überhaupt nichts gelernt. Merkbefreitheit ist wohl das Alleinstellungsmerkmal der Regierung Merkel, wenn es um IT-Recht geht.

Advertisements
 

anonyme SIM-Karten und Weiterverkauf von SIM-Karten Dezember 12, 2008

Filed under: Anonymität,Gesellschaft,Recht — Rorschach @ 16:19
Tags: , , , , ,

Gerade bei gulli gelesen, dass dem Betrieber von simonym wohl nun doch ein Prozess bevorsteht. Wer es nicht kennt: auf simonym konnte man Prepaid-SIM-Karten für sein Handy kaufen, welche nicht auf den eigenen Namen registriert sind.

Dadurch konnte man sich trotzt Besitz eines Handys ein kleines bischen Anonymität erkaufen. Denn wenn die SIM-Karte auf den eigenen Namen registriert ist, ist es für den Netzprovider durch Triangulation möglich den Besitzer der Karte auf 150m genau zu lokalisieren und ein komplettes Bewegungsprofil einer Person zu erstellen. Offiziell braucht es dafür natürlich einen richterlichen Beschluss, trotzdem bleibt das Unbehagen, dass mein Provider genau herausfinden kann, dass ich Rorschach mich genau an dem und dem Ort zu dieser Uhrzeit aufhalte.

Durch eine anonym registrierte SIM-Karte bleiben zwar noch eine Menge andere Risiken, wie zB dass wenn diese SIM-Karte jeden Tag zu meinem Haus getrackt werden kann wohl relativ klar ist wer der Besitzer ist (zu 100% jedoch nur wenn man alleine wohnt und sich sonst keiner in einem Umkreis von 150m, in ländlichen Gegenden noch weiter, befindet), sie die Telefonate abhören und jemand den Namen am Telefon nennt ebenfalls der Besitzer enttarnt ist usw.. und doch kann man mit einer anonym registrierten SIM-Karte wenn man sie intelligent benutzt tatsächlich anonym telefonieren.

Der Telekom gefällt das allerdings anscheinend nicht. Ein Grund hierfür ist mir jedoch, egal wie angestrengt ich nachgedacht habe nicht eingefallen. Ich meine es sind keine Verträge wo sie Angst haben müssen, dass ein anonymer Kunde die Zeche prellt sondern Prepaid-Karten, also der Kunde zahlt erst und dann bekommt er erst die Leistung. Haben sie vielleicht Angst, dass Vater Staat in seinem Überwachungswahn sie mit restriktiven Gesetzen diesbezüglich überschütten würde, wenn sie es nicht von sich aus unterbingen würden? Aber wenn würde sich Vater Staat doch an simonym und nicht die DT wenden oder doch?

Naja ich weiss nicht warum sie was dagegen haben und kann da nur spekulieren. Lieber zurück zu den Fakten: Die Telekom hatte also eine Unterlassungserklärung gefordert und auch bekommen, doch jetzt will sie natürlich noch die Anwaltsgebühren haben. Der Betreiber kann und will sie nicht zahlen, hat nun eine Mahnung bekommen und wird wohl vor Gericht gehen. Die Telekom meint er hätte im Weiterverkauf gegen ihre AGB’s verstossen, was er sicherlich auch getan hat, vor allem in Hinblick auf Punkt 13.1 (Satz 1) und 14.1 der AGB’s. Fraglich ist jedoch ob diese Klauseln gültig sind.

Die Telekom verkauft diese Prepaid-SIM-Karten nach §433 I BGB an ihre Kunden womit diese nach der Übereignung das Eigentum an den Karten erlangen. Nach §307 I Nr.1 BGB sind jedoch Klauseln unzulässig, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelungen die sie abändern nicht im Einklang stehen. Die Telekom möchte dem Eigentümer durch ihre AGB’s untersagen sein Eigentum, also die SIM-Karte weiterzuverkaufen. Ich meine, dass sie das nicht so ohne weiteres tun kann hab jetzt aber auch kein BGB-Kommentar zur Hand um das weiter zu prüfen. Vielleicht will sie auch die gleiche Argumentation wie manche Software-Hersteller anführen sie würden die SIM-Karten garnicht verkaufen sondern nur lizenzieren oder vermieten… Das halte ich für abwägig, sowohl für Software wie auch für SIM-Karten. Meiner Meinung nach wird beides verkauft und der neue Eigentümer kann damit machen was er will. Juristisch problematisch an der Sache ist jedoch, dass an den Kauf der SIM-Karte auch noch ein Dienst-Vertrag mit der DT abgeschlossen wird. Wie es mit dessen Übertragbarkeit aussieht ist fraglich. Der Betreiber von simonym will die Rechtslage nun jedoch von einem Gericht klarstellen lassen.

Jetzt hab ich schon wieder mehr geschrieben als ich schreiben wollte. Was ich eigentlich schreiben wolle ist: Also ich hab mir vor ein paar Wochen in der Stadt in einem von diesen Internetcafé, Internettelefonie, Handykarten & Zubehör Läden eine SIM Karte von Ortel gekauft. Ortel ist eine Tochterfirma von E-Plus und ziemlich unbekannt. Bei der SIM-Karte war ein Zettel dabei, dass ich mich telefonisch oder über ein Webformular erst registrieren muss bevor ich die SIM-Karte nutzen kann. Ich hab die SIM-Karte in mein Handy eingelegt und eine x-beliebige Nummer gewählt. Da kam dann eine Stimme die mir sagte, dass meine Karte nicht registriert sei und ich das irgendwann mal nachholen sollte. Aber das wars. Ich konnte ohne irgendwo meinen Namen, Anschrift, etc.. anzugeben von nun an mit der SIM-Karte ohne Probleme telefonieren.

Ich würde gerne wissen ob auch andere Leute solche Erfahrungen mit Ortel gemacht haben und bin mal gespannt wie der T-Mobil Fall ausgehen wird.

 

Spam im Namen von Gravenreut Oktober 25, 2008

Filed under: Recht,Sicherheit — Rorschach @ 18:33
Tags: , , ,

Eben erreichte mich eine witzige Spam-Mail: klick. Sie stammt angeblich von dem bekannten Abmahn-Anwalt Gravenreuth, der schön öfter durch rechtsmissbräuchliche Massen-Abmahnungen oder Erpressung von Scene-Insidern von sich reden gemacht hat.

Diesmal scheinen findige Spammer seinen Namen dazu zu benutzen um Spam zu versenden. Angeblich hätte ich bei einer Auktion bei Ebay keine Widerrufsbelehrung angegeben und soll nun ein strafbewährte Unterlassungserklärung unterzeichnen.

Naja die Email lässt sich jedoch recht schnell als Spam entlarven, da sie erstens aus der Ukraine stammt:

$ geoiplookup 212.1.94.99
GeoIP Country Edition: UA, Ukraine
GeoIP City Edition, Rev 1: UA, 13, Kiev, (null), 50.433300, 30.516701, 0, 0
GeoIP City Edition, Rev 0: UA, 13, Kiev, (null), 50.433300, 30.516701

obwohl Gravenreuths Kanzlei in Deutschland ist, zum anderen weil die Absenderadresse xhqfkruk@boxingcollectors.com verwendet wird, welche wohl keine Kanzlei benutzen würde. Interessant ist noch, dass die Email mit the Bat verschickt wurde, was vor endlosen Jahren als ich noch Windows nutze mein Lieblingsemailclient war für welchen ich für mp2k auch einige Zeit lang immer Cracks für die neuste Version schrieb.

Zuerst hab ich gedacht, da betreibt jemand einfach Abzocke und hofft das Geld für die Abmahnung von leichtfältigen Menschen einstreichen zu können, doch in der Email wird weder ein Betrag noch ein Konto genannt.

Worum geht es den Spammern dann? Wollen sie vielleicht einen Trojaner verbreiten? Die Email besaß noch einen Anhang mit dem Namen Mahnung.zip . Hier ein paar Infos dazu:

$ file Mahnung.zip
Mahnung.zip: Zip archive data, at least v1.0 to extract
$ md5sum Mahnung.zip
514f2dc058c266809a1ede5a336c7f84 Mahnung.zip
$ du -hs Mahnung.zip
12K Mahnung.zip
$ unzip Mahnung.zip
Archive: Mahnung.zip
End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.
unzip: cannot find zipfile directory in one of Mahnung.zip or
Mahnung.zip.zip, and cannot find Mahnung.zip.ZIP, period.

Also ein kaputtes Archiv, zumindest unter Linux liess es sich nicht entpacken. Ein Blick mit einem Hexeditor verrät, dass sich wohl ein Verzeichnis Mahnung/PK und eine Datei Mahnung/Mahnung.pif in ihm befindet. Eventuell lässt es sich nur mit der aktuellsten Zip-Version unter Windows entpacken. Eine Überprüfung mit Kaspersky’s online Scanner zeigt jedoch keinerlei Viren an.

Also entweder ist das Archiv wirklich richtig kaputt und die Spammer sind Idioten, es nutzt einen zip-Exploit aus und deswegen lässt es sich nicht richtig öffnen oder die Mahnung.pif Datei ist tatsächlich der Übeltäter und wird von Kaspersky einfach nur nicht erkannt.

So oder so, ich fands witzig Spam vom Abmahnanwalt Gravenreuth in meinem Briefkasten zu haben. Ob er wohl die Spammer nun abmahnen wird ? 🙂

 

Polizeiakten der Bürger online nach Straftaten durchsuchbar August 3, 2008

Filed under: Recht — Rorschach @ 15:24
Tags: , ,

Etwas was in Deutschland zum Glück noch undenkbar ist wurde in den USA nun Realität: Auf der Webseite http://criminalsearches.com/ können die Polizeiakten der Bürger nun online nach Straftaten durchsucht werden.

Differenziert wird dabei zwischen acht Kategorien wie zum Beispiel Drogen und Alkohol, Gewaltverbrechen, Vergewaltigung oder sexuelle Nötigung oder Diebstahl. Neben diesen Straftaten sind aber auch ganz simple Ordnungswidrigkeiten wie Verkehrsdelikte enthalen. Man findet Informationen über Alter, Geschlecht, Grösse, Geburtsdatum, letzte bekannte Adresse, eventuelle gefälschte Namen unter denen die Person aufgetreten ist und natürlich nähere Informationen zu den Straftaten. Durchsuchen lässt sich die Datenbank nach Namen, nach Bundeststaaten sortiert aber auch zum Beispiel ganz gezielt nach Vergewaltigern in der eigenen Nachbarschaft.

Gestartet wurde die Webseite von den Machern von http://www.peoplefinders.com/ und so wird einem an zahlreichen Stellen auch angeboten mehr über den Straftäter zu erfahren durch eine Suche bei peoplefinders. Das ganze natürlich mit den üblichen Werbeeinblendungen.

Sie versuchen also mit der Durchleuchtung der amerikanischen Bevölkerung Kapital zu schlagen. So werden Bosse in Zukunft wohl einfach mal nachschauen ob der Bewerber nicht bereits wegen Drogendelikten belangt wurde bevor sie jemanden einstellen.

Resozialisierung wird somit sogut wie unmöglich gemacht und der gläserne Bürger hat mal wieder eine Facette mehr erhalten.

 

Forschungsergebnisse über Sicherheitslücken von Mifare-Chips dürfen veröffentlicht werden Juli 18, 2008

Heute morgen hat das Rechtbank Arnhem Gericht in den Niederlanden entschieden, dass die Foschergruppe rund um Professor Dr. Bart Jacobs der Radboud Universität ihre Forschungsergebnisse über Sicherheitslücken des Mifare-Chips veröffentlichen darf.

Der Hersteller der Mifare-Chips, der Chiphersteller NXP hatte Jacobs und seine Forschergruppe verklagt um so die Veröffentlichung der Sicherheitslöcher ihres unsicher konzipierten Chips zu verhindern. Zahlreiche Nachrichtenportale (zum Beispiel Heise: klick) hatten darüber berichtet.

Das Gericht hat nun entschieden, dass die Veröffentlichung der Ergebnisse unter den Schutz der Meinungsfreiheit fallen würde und es zu den Grundprinzipien eines demokratischen Staates gehört dass Forschungsergebnisse, auch wenn sie unliebsam sind, veröffentlich werden dürfen wie die Radboud Universität in einer Pressemitteilung (Vorsicht: Javascript muss aktiviert sein damit man die Meldung angezeigt bekommt) berichtet.

Das Urteil ist indes ebenfalls online jedoch nur auf niederländisch. Google-Translations oder Babelfish können da aber helfen.

Mifare-Chips sind RFID-Chips. Sie bieten eine Anzahl unterschiedlicher Sektoren, welche mit unterschiedlichen Schlüsseln verschlüsselt werden können womit man steuern kann, wer Zugriff auf welche Daten auf dem Chip bekommen darf. Sie sind bereits millionenfach verbreitet und kommen zum Beispiel in Studentenausweisen zum Einsatz, womit gesteuert werden kann, dass die Mensa zum Beispiel nur Zugriff auf die Daten über das Guthaben auf der Karte hat, Validierungsautomaten nur auf die Daten die das Fachsemester und den Namen enthalten, usw… sie bieten also eine Art Zugriffskontrolle auf RFID-Ebene.

Ein gutes Urteil welches nicht nur ein Gewinn für die Meinungsfreiheit, sondern auch die Freiheit der Wissenschaft, insbesondere der Sicherheitsforschung darstellt.

Den Menschen bleibt zu raten Mifare-Chips wie andere RFID-Chips weitestgehend zu meiden bzw. wenn dies nicht möglich sein sollte sich eine RFID-Schutzhülle zuzulegen, welche das unberechtigte Auslesen verhindert. Beziehen kann man solche zum Beispiel im Webshop des FoeBud e.V.. Die Karte komplett mit Alufolie zu umwickeln ist aber genauso ergiebig.

 

LG Hamburg entscheidet: Webseite von Ryanair zu scrapen ist illegal Juli 11, 2008

Filed under: Recht — Rorschach @ 14:10
Tags: , , ,

Ryanair hat offenbar vor einem Hamburger Gericht gegen die Vtours GMBH geklagt, da diese die Inhalte der Webseite von Ryanair „gescrapet“ und auf ihrer eigenen Webseite eingebunden hatte.

Das Hamburger Gericht hat nun entschieden, dass dies rechtswidrig sei. Leider lässt sich bis jetzt weder sagen, welches der Hamburger Gerichtet dieses Urteil getroffen hat (allerdings war es sicherlich das Landgericht da Ryanair mit hoher Wahrscheinlichkeit einen Streitwert über 5000€ angesetzt hatte) noch lässt sich das Urteil irgendwo finden. Die Webseite des LG Hamburg ist aber generell etwas vorsintflutlich; Urteile lassen sich da jedenfalls nicht finden… Einzige Quelle ist bis jetzt eine Pressemitteilung von Ryanair und die internationale Blogosphere.

Ich mutmaße mal, dass das LG das Urheberrecht von Ryanair dabei verletzt sah. Ähnliche Ansichten wurden von deutschen Gerichten bereits in der Vergangenheit bezüglich dem Scrapen von Webseiten eingenommen.

Diese Screen Scraping Geschichten und die rechtlichen Fragen dazu kommen mir immer etwas konfus vor. Die Menschen setzen eine für jeden öffentlich zugängliche Webseite ins Netz die jeder, technisch gesehen, anschauen, ausdrucken, speichern, kopieren oder auch automatisiert abfragen kann. Dies sind nunmal alles Dinge die das Hypertext Transfer Protocal, kurz HTTP durch seine Spezifikation erlaubt und wenn ich mich dazu entscheide dieses Protokoll zur Verbreitung von Informationen zu benutzen, dann willige ich damit gleichzeitig darin ein, dass jemand anderes die Möglichkeiten dieses Protokolls auch benutzt.

Gleichzeitig scheint Ryanair in anderen Ländern ähnliche Verfahren gegen andere Webseiten angestrengt zu haben, wie zum Beispiel in Ireland wie die Synday Post berichtet.

Ob Ryanair als nächstes wohl Google anklagen wird, da diese ebenfalls die Webseite gescrapt und in ihrem Cache gespeichert haben, genauso wie das Internet-Archiv ?