Blogarchiv 2010

Da ich Ba­zaar nicht mehr aktiv be­nut­ze, habe ich das Pro­jekt nach git kon­ver­tiert und bei git­hub ein­ge­stellt. Bei der Ge­le­gen­heit gab's auch noch eine An­pas­sung an neue­re pygtk-Ver­sio­nen, so daß der Kon­fi­gu­ra­ti­ons-Dia­log des GPS-Mo­duls nun wie­der funk­tio­niert :-)

Äpfel, Brom­bee­ren, Oran­gen... Pro­dukt- und Fir­men­na­men, die ein­fach eine Steil­vor­la­ge für einen ent­spre­chen­den Sketch beim Obst­händ­ler sind :-) Und wer wis­sen will, wie Dat­teln in den Ter­min­ka­len­der pas­sen, muß sich ein­fach den Film an­se­hen:

Youtube: My Blackberry Is Not Working!


Na­tür­lich ist das Thema Wi­ki­leaks auch in di­ver­sen Web­co­mics ge­lan­det:

Der Ju­gend­me­di­en-Staats­ver­trag ist tech­nisch ge­se­hen eine Lach­num­mer, und auch das Ab­stim­mungs- und Droh­ge­ba­ren der Po­li­ti­ker gerät mehr und mehr zur Farce. Kom­men­ta­re, Rants oder auch nur un­gläu­bi­ges Kopf­schüt­teln gibt es zu­hauf, aber die­sen Kom­men­tar des Rechts­an­walts Ste­fan En­geln (der auch wei­te­re Er­läu­te­run­gen in sei­nem Blog schreibt) aus der Ra­dio­sen­dung "Track­back" (zu hören ab Mi­nu­te 17) möch­te ich noch­mals her­vor­he­ben:

Viele Gro­ßen der Welt gei­ßeln die Ver­öf­fent­li­chung der Wi­ki­leaks-"Cab­le­ga­te"-Do­ku­men­te als ver­ant­wor­tungs­los und ge­fähr­lich. Man­che gin­gen sogar so weit, sie als "9/11 der Di­plo­ma­tie" zu be­zeich­nen. Eine Nach­rich­ten­spre­che­rin der öf­fent­lich-recht­li­chen frag­te rhe­to­risch nach einem Be­richt, wieso Wi­ki­leaks stän­dig auf den Ame­ri­ka­nern her­um­ha­cken würde - das Steh­len von Daten aus Län­dern wie dem Iran oder China sei ihnen wohl zu ge­fähr­lich.

Seit die­sem ers­ten Kom­men­tar der Nach­rich­ten­spre­che­rin haben sich die Jour­na­lis­ten of­fen­bar wei­ter über die Funk­ti­ons­wei­se von Wi­ki­leaks in­for­miert (wer das wei­ter tun möch­te, dem kann ich die Sen­dung des Cha­os­ra­dio Nr. 149 über Wi­ki­leaks oder die Wi­ki­leaks FAQ bei "The Fu­ture of the In­ter­net" emp­feh­len), denn es ist mit­nich­ten so, daß Wi­ki­leaks-Ak­ti­vis­ten frem­de Rech­ner "ha­cken", um an Daten zu kom­men. Wi­ki­leaks sieht sich als neu­tra­le Whist­leb­lo­wer-Platt­form: Jeder kann Wi­ki­leaks Daten mit der Bitte um Ver­öf­fent­li­chung zur Ver­fü­gung stel­len. Die Wi­ki­leaks-Ak­ti­vis­ten prü­fen dar­auf­hin die Au­then­ti­zi­tät der In­for­ma­tio­nen, und wenn sie die­sen "sa­ni­ty checks" be­ste­hen, wer­den sie ver­öf­fent­licht. Dabei nimmt Wi­ki­leaks kei­ner­lei mo­ra­li­sche Be­wer­tung der Daten vor - das obers­te Ziel ist ein un­ge­fil­ter­ter Blick auf die Welt.

Die­ser An­satz klingt zu­ge­ge­be­ner­ma­ßen sehr ra­di­kal; so­weit ich mich er­in­ne­re, wurde die ra­di­ka­le Ver­öf­fent­li­chung bei den Af­gha­nis­tan-Do­ku­men­ten ein­ge­schränkt, da bei ei­ni­gen Tex­ten un­mit­tel­ba­re Ge­fahr für das Leben ei­ni­ger Leute be­stan­den habe (ich bitte um Kor­rek­tur, wenn ich hier falsch liege). Aber ge­ra­de der Ver­gleich mit den Steu­er­sün­der-Da­ten zeigt, daß eine all­ge­mein­gül­ti­ge und neu­tra­le Be­wer­tung von sol­chen Do­ku­men­ten fak­tisch nicht mög­lich ist.

Aus Sicht von Ame­ri­ka liegt Wi­ki­leaks wohl ganz klar auf der "vir­tu­el­len Achse des Bösen". Zu­erst zog der DNS-Re­gis­trar Ever­yDNS den Stöp­sel und lösch­te den Do­mä­nen­ein­trag wi­ki­leaks.​org. Auf­grund eines DDoS-An­griffs auf die schwe­di­schen Wi­ki­leaks-Ser­ver (des­sen Ver­ur­sa­cher in­zwi­schen ge­fasst ist) zogen die Wi­ki­leaks-Da­ten vor­über­ge­hend in die Ama­zon-Cloud; doch Ama­zon lösch­te wohl auf po­li­ti­schen Druck hin die Daten. Auch Pay­pal hat in­zwi­schen das Wi­ki­leaks-Spen­den­kon­to ge­sperrt. So­wohl Pay­pal als auch Ama­zon be­strei­ten na­tür­lich, auf po­li­ti­schen Druck hin ge­han­delt zu haben; je­doch klingt die Be­grün­dung über den Ver­stoß gegen die Ge­schäfts­be­din­gun­gen in mei­nen Ohren reich­lich dünn.

Es scheint schon fast zum Ri­tu­al zu wer­den: Als die Sperr­lis­ten von Web­sei­ten mit an­geb­lich kin­der­por­no­gra­phi­schem In­halt vor einem Jahr ver­öf­fent­lich wur­den, ver­schwand die Deut­sche Wi­ki­leaks-Do­main ohne Vor­war­nung, und der In­ha­ber der Do­main sah sich einer Haus­durch­su­chung aus­ge­setzt, die aus tech­ni­scher Sicht völ­lig sinn­los war (Mut­ma­ßun­gen über die ein­schüch­tern­de Wir­kung lagen da nicht fern).

Auf der an­de­ren Seite wurde die Ver­öf­fent­li­chung des Irak-Vi­de­os von vie­len Eu­ro­päi­schen Me­di­en für wich­tig ge­hal­ten. Sel­bi­ges galt für die Ver­öf­fent­li­chung des unter Ver­schluß ge­hal­te­nen Toll­collect-Ver­trags­werks.

Die Rolle und Hal­tung von Wi­ki­leaks ist in der Tat schwie­rig - was von den einen für gut ge­hal­ten wird, mag für an­de­re voll­kom­men ver­werf­lich klin­gen. Aber genau diese Schwie­rig­keit der Be­wer­tung ist der Grund für die Her­an­ge­hens­wei­se von Wi­ki­leaks. Ob Wi­ki­leaks damit als Da­mo­kles­schwert für krum­me Ma­chen­schaf­ten und über­mo­ra­li­sche In­stanz funk­tio­niert oder mehr Scha­den als Nut­zen an­rich­tet, ist eine sehr schwie­ri­ge Frage.

Je­den­falls stün­de es der Pres­se gut zu Ge­sicht, wenn sie nicht un­kri­tisch die Pres­se­mit­tei­lun­gen der Po­li­tik wie­der­ho­len würde und Wi­ki­leaks in ihrer Be­richt­er­stat­tung nicht ein­mal ge­ra­de­zu zum Hel­den hos­ti­li­sie­ren, das an­de­re mal zum Welt­ver­rä­ter ver­dam­men würde. Eine dif­fe­ren­zier­te­re Be­trach­tungs­wei­se tut hier not.

Am Haupt­quar­tier der CIA steht die Kryptos-Skulp­tur, die aus vier chif­fier­ten Nach­rich­ten be­steht. Drei der Nach­rich­ten sind be­reits ent­schlüs­selt - wobei die drit­te Nach­richt einen Schreib­feh­ler ent­hielt.

Die Kryptos-Skulp­tur hat sich in den 20 Jah­ren zu einer klei­nen Ikone der Kryp­to-Sze­ne ge­mau­sert - man­che Bü­cher und Filme re­fe­ren­zie­ren sie, und es gibt Fan­sei­ten im Netz, wel­che In­for­ma­tio­nen sam­meln, um dem letz­ten ver­blei­ben­den Rät­sel zu Leibe zu rü­cken. Ich bin ge­spannt, ob der Hin­weis ge­nügt, um in der nächs­ten Zeit eine Lö­sung zu er­mög­li­chen.

(Bild: (CC) cc-by Mi­cha­el Yew)

Für ein neues (ge­schäft­li­ches) Pro­jekt fiel die Wahl für das Ver­si­ons­kon­troll­sys­tem auf git. Un­glück­li­cher­wei­se sind die ein­zi­gen Pro­to­kol­le, was sämt­li­che Fir­men­fire­walls (halb­wegs) un­be­scha­det pas­sie­ren, http und https. Als wei­te­re Si­che­rungs­maß­nah­me soll die Au­then­ti­sie­rung über Cli­ent-Zer­ti­fi­ak­te er­fol­gen.

Durch Zu­fall bin ich diese Woche in eine Aus­ga­be der Sen­dung Ein­fach ge­ni­al ge­stol­pert - es soll­te um Bei­trä­ge rund um das Thema Da­ten­schutz gehen. Bei den ein­zel­nen Bei­trä­gen frag­te ich mich, mit welch man­geln­der Sorg­falt hier re­cher­chiert wurde - ent­we­der han­del­te es sich um Bin­sen­wahr­hei­ten, alte Tech­no­lo­gi­en, halb­wah­re oder gar fal­sche In­for­ma­tio­nen.

Die W-LAN-Ab­schirm­box

In einem Test wurde über die W-LAN-Ab­schirm­box be­rich­tet. Dem Pro­blem, dem man hier­mit be­geg­nen möch­te: W-LANs ma­chen nicht an den Häu­ser­gren­zen halt, sie sind auch au­ßer­halb des Grund­stücks emp­fang­bar. Mit der Ab­schirm­box kann man die Sen­de­leis­tung eines W-LANs re­du­zie­ren, so daß es - an­geb­lich - nur noch im Haus, nicht aber mehr auf der Stra­ße emp­fang­bar sei.

  • Die Be­haup­tung des Bei­trags, ein paß­wort­ge­schütz­tes W-LAN sei in kür­zes­ter Zeit zu kna­cken, ist schlicht falsch. Bei Ver­wen­dung der ak­tu­el­len Ver­fah­ren (also WPA2, bloß nicht mehr das stein­al­te WPA) sowie eines star­ken Pass­worts ist es nach wie vor alles an­de­re als tri­vi­al.
  • Re­du­zie­rung der Ab­strah­lung als Schutz­me­cha­nis­mus ist höchst frag­lich; wer ver­schie­de­ne W-LAN-Ge­rä­te be­sitzt, dem wird si­cher selbst schon auf­ge­fal­len sein, daß er mit den Ge­rä­ten un­ter­schied­lich guten Emp­fang be­sitzt. Grund sind die un­ter­schied­li­chen Ei­gen­schaf­ten der ver­bau­ten An­ten­nen.
  • Daß das Käst­chen Mum­pitz ist, läßt sich auch schon er­ra­ten, daß es keine Mög­lich­keit zur Re­ge­lung der Dämp­fung gibt... wieso soll­te die nö­ti­ge Dämp­fung zur Stra­ße bei allen Ge­bäu­den (und allen Ent­fer­nun­gen zur Häu­ser­gren­ze) gleich sein?
  • Wer wirk­lich in das Funk­netz ein­drin­gen will, läßt sich von der durch die Box re­du­zier­ten Leis­tung nicht ab­brin­gen: Durch Ver­wen­dung einer ge­eig­ne­ten An­ten­ne dürf­te er die Dämp­fung der Box mehr als wett ma­chen (im­mer­hin schaf­fen es Richt­an­ten­nen, eine W-LAN-Ver­bin­dung über meh­re­re Ki­lo­me­ter Ent­fer­nung her­zu­stel­len)

Meine per­sön­li­che Mei­nung: Fin­ger weg von die­sem Un­sinn. Dafür dar­auf ach­ten, daß der W-LAN-Rou­ter WPA2 kann (was für alle mo­der­nen Ge­rä­te der Fall sein dürf­te) und ein gutes Pass­wort ge­setzt ist.

Gra­fik­key

In die­sem Bei­trag wurde das Pro­gramm Gra­fik­key be­wor­ben, mit dem sich der In­halt einer E-Mail in einem Bild ver­ste­cken läßt. Hin­ter­grund: Es gibt keine Ga­ran­ti­en für die Si­cher­heit bei der Über­tra­gung einer E-Mail - das ist kor­rekt. Aber:

  • Es ist nicht ganz so leicht wie im Bei­trag dar­ge­stellt, sich in die Kom­mu­ni­ka­ti­on zwei­er Mail­ser­ver ein­zu­klin­ken: Für den Be­trei­ber der je­wei­li­gen Mail­ser­ver (auf Sen­der- und Emp­fangs­sei­te) mag das noch gel­ten, in an­de­ren Fäl­len gibt es für An­grei­fer ver­mut­lich ein­fa­che­re Wege.
  • Ver­schlüs­sel­te Daten sol­len ein Hin­weis sein auf sen­si­ble Daten? Mög­li­cher­wei­se... aber wenn zwei Leute stän­dig Bil­der in einem ar­chai­schen Bild­for­mat (.bmp :-) aus­tau­schen, ist das voll­kom­men un­auf­fäl­lig... oder?
  • Das Ver­ber­gen von In­for­ma­tio­nen in an­de­ren Daten"be­häl­tern" nennt sich Ste­ga­no­gra­phie. Bil­der sind hier nur ein mög­li­ches Trans­port­ve­hi­kel. Ent­spre­chen­de Pro­gram­me gibt es seit min­des­tens 15 Jah­ren. Von daher er­staunt es mich, daß hier­für auf einer Er­fin­der­mes­se ein Preis ver­ge­ben wird...
  • Ver­schlüs­se­lungs­tech­no­lo­gi­en sind ein heik­les Thema. Es ist drin­gend zu emp­feh­len, nur Pro­gram­me zu ver­wen­den, deren Funk­ti­ons­wei­se nach­prüf­bar ist (z.B. da­durch, daß der Quell­text ver­füg­bar ist) und wel­che aus­schlie­ß­lich be­kann­te, gut er­forsch­te Ver­fah­ren zur Chif­frie­rung ver­wen­den. Bei­des läßt das vor­ge­stell­te Pro­gramm ver­mis­sen: Der Quell­text ist nicht ver­füg­bar, auch das ver­wen­de­te Ver­schlüs­se­lungs­ver­fah­ren ist nicht be­kannt.

Daher: Als Kin­der­spiel und Si­che­rung vor der neu­gie­ri­gen klei­nen Schwes­ter mag das Pro­gramm tau­gen - für echte Ge­heim­nis­se soll­te un­be­dingt pro­fes­sio­nel­le Soft­ware zum Ein­satz kom­men. Das be­deu­tet nicht au­to­ma­tisch auch "teuer": Bei­spiels­wei­se das PGP-De­ri­vat GPG kann man wohl guten Ge­wis­sens als gut ab­ge­han­gen und un­ter­sucht be­zeich­nen (ab­ge­se­hen davon, daß PGP ge­ra­de für ver­schlüs­sel­te Mails wei­te­re Vor­tei­le bie­tet) - und GPG ist kos­ten­los ver­füg­bar. Mit PGP bzw. GPG ver­schlüs­sel­te Daten sind nach ak­tu­el­lem Kennt­nis­stand nicht durch rohe (Re­chen)ge­walt zu bre­chen, es ist also egal, ob ein un­lieb­sa­mer Mit­hö­rer er­kennt, daß es sich um ver­schlüs­sel­te Daten han­delt. Wer das Ver­steck­spiel mit den Bil­dern den­noch be­trei­ben will, der soll­te un­be­dingt seine Daten zu­nächst PGP-ver­schlüs­seln und erst diese (be­reits ge­si­cher­ten) Da­tei­en einem Pro­gramm wie dem vor­ge­stell­ten an­ver­trau­en.

Pass­wort­safe

Der Pass­wort­safe ist ein Pro­gramm für Han­dys, in dem man Pass­wör­ter sam­meln kann und diese mit einem Mas­ter-Pass­wort si­chert. Im Ge­gen­satz zu be­kann­ten Pass­wort-Safes wie z.B. Kee­pass (wel­ches es auch für ver­schie­de­ne Mo­bil­ge­rä­te gibt) ist der vor­ge­stell­te Pass­wort­safe dar­auf aus­ge­legt, zu jedem ein­ge­ge­be­nen Mas­ter­pass­wort plau­si­bel aus­se­hen­de PINs, TANs, Pass­wör­ter aus­zu­ge­ben.

  • Die ge­spei­cher­ten Pass­wör­ter müs­sen selbst "gut" sein, sie dürf­ten also kei­ner­lei Worte oder Wort­tei­le be­inhal­ten: Sonst las­sen sich die be­rech­ne­ten Er­geb­nis­se gegen ein Wör­ter­buch ab­glei­chen, was einen Hin­weis auf das kor­rek­te Mas­ter­pass­wort gibt.
  • Mal­wa­re für Han­dys gibt es be­reits, und die Menge wird in den nächs­ten Jah­ren ex­po­nen­ti­ell an­wach­sen. Falls sich auf dem Handy ein ent­spre­chen­des Spio­na­ge­pro­gramm ein­ge­nis­tet hat, ist es für die­ses na­tür­lich ein leich­tes, das Mas­ter­pass­wort ab­zu­hö­ren. Hier ist also Vor­sicht ge­bo­ten.

Der n-PA

Dem "neuen Per­so­nal­aus­weis" nPA (frü­her: ePA) wurde eben­falls ein Bei­trag ge­wid­met. Ich er­spa­re mir hier das Er­läu­tern der Lob­hu­de­lei­en und ver­wei­se hier auf an­de­re aus­führ­li­che Ab­hand­lun­gen.

Alles in allem war ich über die Qua­li­tät der Re­cher­che ziem­lich er­schüt­tert. Da wurde of­fen­bar mehr oder min­der kri­tik­los wie­der­ge­ge­ben, was in der Wer­bung der je­wei­li­gen Pro­duk­te ver­spro­chen wurde. Die Schmer­zen über die Ab­schirm­box haben bei mir noch stun­den­lang an­ge­hal­ten ;-) und auch die an­de­ren Si­cher­heits­tips waren mehr oder min­der fahr­läs­sig: Wer sich al­lein auf Grund der in dem Be­richt ge­ge­be­nen In­for­ma­tio­nen ver­sucht zu schüt­zen, be­gibt sich in ein sehr ge­fähr­li­ches, trü­ge­ri­sches Ge­fühl der Si­cher­heit.

Ich schlei­che schon seit lan­gem um eine neue Tas­ta­tur herum. Da­heim habe ich eine pas­sa­ble Tas­ta­tur, aber an mei­nen Ar­beits­plät­zen sah's immer eher mau aus. Ver­guckt habe ich mich nicht in ir­gend­ein Key­board - son­dern in Das Key­board. Bis dato scheu­te mich je­doch der teure Im­port aus den USA - und das ziem­lich laute Schreib­ge­räusch (nicht um­sonst ver­kauft die Firma neben den Key­boards auch Oro­pax :-).

Ich rich­te - mal wie­der - einen Thun­der­bird ein. Läs­ti­ger­wei­se ver­hält sich Thun­der­bird nur fast so, wie ich es gerne hätte: Ich möch­te meine Mails nach Datum ab­wärts sor­tiert und nach Threads grup­piert haben... und ich möch­te das nicht für jeden neuen Ord­ner extra ein­stel­len müs­sen.

Alle paar Tage werfe ich einen Blick in den Spa­m­ord­ner. Manch­mal ver­irrt sich ja doch etwas Ham dort hin­ein (pas­siert ins­be­son­de­re dann, wenn mir je­mand ver­se­hent­lich nicht-PGP-ver­schlüs­sel­te Mail an meine PGP-Mail­adres­se schickt). Fund­stück des Tages war eine Spam­mail mit fol­gen­dem Hin­weis am Ende:

Mir ist die Tage - mal wie­der - eine kom­pro­mit­tier­te Ma­schi­ne unter die Fin­ger ge­kom­men - dies­mal eine Win­dows-Ma­schi­ne; ich hatte ja schon ein­mal bei so einem Vor­fall ein paar Infos auf­ge­schrie­ben, und da ich für den Ar­ti­kel viel po­si­ti­ves Feed­back be­kom­men habe, dach­te ich, ich mache das dies­mal wie­der :-) Al­ler­dings wird's dies­mal nicht so um­fang­reich, da ich die­ses mal quasi nur als Be­ra­ter hin­zu­ge­zo­gen wurde, das ei­gent­li­che Doing je­mand an­de­rem über­las­sen mußte.

Kaum daß de-Mail of­fi­zi­ell an den Start gehen soll, sind die ein­schlä­gi­gen Web­sei­ten voll mit Mel­dun­gen wie De-Mail ist un­si­cher. Kurze Durch­sa­ge: Die (an einem Teil des Sys­tems ge­äu­ß­ter­ter) Kri­tik ist kal­ter Kaf­fee und war be­reits nach einem kur­zen Blick auf das De­sign zu er­ken­nen.

Ich ex­pe­ri­men­tie­re ein wenig mit einem zwei­ten Theme für mo­bi­le Ge­rä­te; in­zwi­schen ist das ganze so weit ge­die­gen, daß ich es live ge­schal­tet habe. Brow­ser von iPho­ne, An­dro­id & Co. soll­ten nun au­to­ma­tisch auf der an­de­ren Dar­stel­lung lan­den :-)

Mir ist ja ges­tern schier der Kie­fer gen Kel­ler ge­sackt, als ich ge­le­sen habe, daß ein Fil­ter­sys­tem für Schu­len netz­po­li­tik.​org blo­ckiert. Das Fil­ter­sys­tem, das hier zum Ein­satz kam, nennt sich Schul­fil­ter plus von "Time for Kids", und rühmt sich, die "welt­weit grö­ß­te und ak­tu­ells­te URL-Da­ten­bank" zu füh­ren. Um sich von der Qua­li­tät zu über­zeu­gen, kann man dort URLs tes­ten, und ich konn­te der Ver­su­chung nicht wi­der­ste­hen, ob ich dort auch be­reits ge­lis­tet bin - hier das Er­geb­nis:

Time for Kids URL test

Alle Jahre wie­der: Zu Be­ginn der In­nen­mi­nis­ter­kon­fe­renz vor einer Woche wurde von den Po­li­zei­or­ga­ni­sa­tio­nen wie­der ein­mal die ra­sant stei­gen­den Zah­len beim EC-Kar­ten-Be­trug an­ge­pran­gert. Die An­zahl Vor­fäl­le nimmt ste­tig zu, eben­so die Raf­fi­nes­se der Be­trü­ger (siehe Be­rich­te aus den Nach­rich­ten von 2008, 2009 und die­sem Jahr). Die Ge­rät­schaf­ten (ver­steck­te Ka­me­ras, Tas­ta­tur­at­trap­pen, Kar­ten­le­ser, etc.) wer­den von or­ga­ni­sier­ten Krei­sen pro­fes­sio­nell her­ge­stellt, die Ma­ni­pu­la­tio­nen sind in vie­len Fäl­len selbst für Ex­per­ten nicht mehr zu er­ken­nen.

Der Dienst "Goog­le Street View" sorgt rings­her­um für große Auf­re­gung: Häu­fig war zu lesen, daß ein­zel­ne Städ­te und Ge­mein­den Googles Ak­ti­vi­tät kom­plett ver­bie­ten wol­len, an­de­re ver­such­ten, es dem Such­ma­schi­nen­gi­gan­ten mit Hilfe von Kon­struk­ten wie einer Stra­ßen­nut­zungs­ge­bühr so un­at­trak­tiv wie mög­lich zu ma­chen. Netz­ak­ti­vis­ten pro­tes­tier­ten, indem sie an einem Goog­le-Au­to einen GPS-Tra­cker an­brach­ten und das Auto (oh, Iro­nie) über ein Goog­le Maps Mas­h­up im Netz ver­folg­bar mach­ten (Edit: War wohl ein Fake, siehe die­ser Kom­men­tar).

Ich möch­te noch kurz über den (be­reits er­wähn­ten) Vor­trag von An­dre­as und mir am Carl-von-Lin­de-Gym­na­si­um in Kemp­ten be­rich­ten. In aller Kürze: Klas­se war's! Wir hat­ten viel Spaß, die Schü­ler waren in­ter­es­siert (es gab reich­lich Nach- und Zwi­schen­fra­gen, und ein­ge­schla­fen ist trotz der immer di­cker wer­den­den Luft auch kei­ner), und auch die an­we­sen­den Leh­rer waren an­ge­tan. Da wir beide sol­che Ak­tio­nen für rich­tig und wich­tig hal­ten, haben wir uns ent­schie­den, die Fo­li­en unter einer Crea­ti­ve-Com­mons-Li­zenz ins Netz zu stel­len: Hier gibt es die kom­plet­ten Vor­trags­fo­li­en als PDF, die La­TeX-Bea­mer-Quell­tex­te der Fo­li­en habe ich auf Git­Hub hin­ter­legt. Wer Er­gän­zun­gen vor­nimmt: Bitte laßt es mich wis­sen, ich nehme sie dann gerne in mei­nen Fo­li­en­satz mit auf (Edit: Um ähn­li­che The­men dreh­te sich auch die­ser Schul­be­such in Geis­lin­gen, wo es schwer­punkt­mä­ßig um Face­book ging). So, nun zum Be­richt...

Ges­tern war ich in einer Schu­le in Kemp­ten und habe dort über mög­li­che Pro­ble­me und Ge­fah­ren von so­zia­len Net­zen er­zählt. Unter an­de­rem ging es um ver­schie­de­ne Mög­lich­kei­ten, wie die Daten, die man dort ein­gibt, sich ihren Weg "nach drau­ßen" bah­nen kön­nen - einer davon waren Da­ten­lecks durch tech­ni­sche Pro­ble­me oder feh­ler­haf­te Im­ple­men­tie­rung.

netz­po­li­tik.​org waren die Daten von 1,6 Mil­lio­nen Pro­fi­len zu­ge­sandt wor­den, was ca. 30% der Mit­glie­der ent­spricht. Der Um­stand, daß es sich dabei (zum al­ler­grö­ß­ten Teil) um Daten Min­der­jäh­ri­ger han­delt, macht die Sache be­son­ders de­li­kat. Die VZ-Netz­wer­ke geben sich zwar in­zwi­schen (im Ge­gen­satz zu Face­book) große Mühe, in­ner­halb des Sys­tems die Pri­vat­sphä­re der User zu schüt­zen: So sind bei­spiels­wei­se die Stan­dard­ein­stel­lun­gen für einen neuen Ac­count so, daß zu­nächst nur das ab­so­lu­te Mi­ni­mum an Daten für an­de­re sicht­bar sind, und auch die Mög­lich­keit, Apps mit Hilfe von "Vi­si­ten­kar­ten" eine ver­än­der­te Sicht auf sein Pro­fil zu geben. Gegen sol­che Da­ten­lecks hel­fen diese Vor­sichts­maß­nah­men je­doch frei­lich nicht.

Ein Leh­rer des Carl-von-Lin­de-Gym­na­si­ums in Kemp­ten hat beim CCC an­ge­fragt, ob es im Raum Kemp­ten einen Re­fe­ren­ten gäbe, der in sei­ner Schu­le einen Vor­trag zum Thema "Da­ten­schutz" hält. Auf Nach­fra­ge stell­te sich her­aus, daß der Leh­rer mit Sorge den un­kri­ti­schen Um­gang sei­ner Schü­ler mit Face­book, Schü­lerVZ, Goog­le & Co. be­ob­ach­tet.

Seit­dem ich vor zwei Jah­ren ge­le­sen habe, daß man Ken­sing­ton-Locks mit einer Klo­pa­pier­rol­le öff­nen kann, lese ich mit woh­li­gem Schau­er, wie ein­fach man doch so man­che Schlie­ßvor­rich­tung um­ge­hen kann. Ein klei­nes Sam­mel­su­ri­um möch­te ich hier vor­stel­len - mit un­ter­schied­li­chem Nach­ah­mungs-Wi­der­stand (sprich: Auf­wand), aber dafür fast alles mit hohem Ge­ek-Fak­tor.

"Die Num­mer Ihres Te­le­fon­an­schlus­ses wurde heute aus­ge­lost, und sie sind der Ge­win­ner eines neuen BMW-Cou­pes!" - lei­der dürf­te wohl in­zwi­schen jeder An­ru­fe mit sol­chen Band­an­sa­gen ken­nen. Cold calls sind un­ter­sagt, die in der An­sa­ge ge­nann­te 0900-Num­mer wurde ver­schlei­ert an­ge­sagt ("Null-neun... null-null-fünf..."), und auch die ge­setz­lich ge­for­der­te An­sa­ge der Kos­ten für den Anruf fehl­ten. Die Bun­des­netz­agen­tur kon­trol­liert die Son­der­ruf­num­mern, und kann sie bei Miß­brauch auch sper­ren; hier­für gibt es auf deren Web­sei­te ver­schie­de­ne Kon­takt­mög­lich­kei­ten. Wie eine sol­che Mel­dung ab­läuft, habe ich in­zwi­schen ein­mal durch­ex­er­ziert.

Ja? Dann komm' mal näher, darf nicht jeder hören, was wir hier reden! Du darfst üb­ri­gens auch nie­man­dem hier­von er­zäh­len, wenn Du un­ter­schreibst... aber hey, zu­rück zum Ge­schäft.

Du schreibst Deine App, und kannst sie dann bei uns im Apps­to­re ver­che­cken (30% be­hal­ten wir, der Rest ist für Dich) - oder ver­schen­ken, wenn Du willst. Nee, sorry Kum­pel, aber wo­an­ders ver­kau­fen is' lei­der nicht; Du sollst keine an­de­ren App-Stores neben uns haben. Klar schau­en wir Dein Pro­gramm vor­her an - wol­len ja si­cher­stel­len, daß da nix Un­mo­ra­li­sches in un­se­rem Store lan­det - unser Image, Du ver­stehst schon. Nein, wenn wir Deine App ab­leh­nen, darfst Du sie trotz­dem nir­gends­wo sonst ver­kau­fen.

Ok, das hier ist off-to­pic. Trotz­dem möch­te ich diese Stel­le nut­zen, um mei­nen Unmut kund­zu­tun. Es geht um die Fas­ten­pre­dikt des "Bru­der Bar­na­bas" am Nock­her­berg.

Heute ist wie­der Safer In­ter­net Day (deut­sche Seite hier), eine In­itia­ti­ve, die ins­be­son­de­re Kin­der und Ju­gend­li­che für die Fall­stri­cke und Ge­fah­ren im Netz sen­si­bi­li­sie­ren soll - so­wohl di­rekt als auch durch Be­reit­stel­lung von In­for­ma­ti­ons­ma­te­ri­al für El­tern und Leh­rer. Das dies­jäh­ri­ge Motto lau­tet "think be­fo­re you post", halb­wegs tref­fend über­setzt mit "erst den­ken, dann kli­cken":

Boah, was für eine An­häu­fung von Buz­zwords :-) Trotz­dem klingt die An­kün­di­gung bei Bo­ing­bo­ing ziem­lich span­nend: Man schlie­ßt eine Hand voll Rech­ner zu einem Ver­bund zu­sam­men, wel­che das Da­tei­sys­tem be­hei­ma­ten. Das Sys­tem sorgt au­to­ma­tisch für Red­un­danz - Daten sol­len (mög­lichst lange) les­bar blei­ben, auch wenn ein­zel­ne Rech­ner der "Cloud" aus­fal­len. Der ge­sam­te In­halt des Da­tei­sys­tems soll ver­schlüs­selt sein; und es soll mög­lich sein, Da­tei­en oder Ver­zeich­nis­sen in­di­vi­du­el­le Zu­griffs­rech­te zu geben, so daß nur die aus­ge­wähl­ten Per­so­nen dar­auf Zu­griff haben.

Ich war lange sehr zwie­ge­spal­ten: Braucht "man" Twit­ter? Will ich das? Letzt­end­lich habe ich pro­be­hal­ber mal einen Twit­ter-Ac­count an­ge­legt, um es ein­mal aus­pro­biert zu haben... und ich muß zu­ge­ben, daß sich Twit­ter bei mir ein Stück weit "eta­bliert" hat. Ich denke, daß sich Twit­ter ge­ra­de für kurze Hin­wei­se (wie bei­spiels­wei­se Links auf eine Web­sei­te, zu der man einen Satz, aber kei­nen gan­zen Blo­g­ar­ti­kel schrei­ben will) eig­nen dürf­te - und dafür will ich es auch ver­wen­den - plus ge­le­gent­li­chen kur­zen sons­ti­gen Rand­be­mer­kun­gen. Pas­send zur "Rand­be­mer­kung" habe ich - der JS-Bi­blio­thek Tweet! sei dank - die letz­ten paar Tweets links am Rand der Seite ein­ge­bun­den.

Wo bleibt ei­gent­lich das Ge­gen­an­ge­bot der Steu­er­sün­der? Wäre doch fast Zeit für die Auk­ti­ons­platt­form "www.​ta­xe­va­der-in­ter­na­tio­nal.​org"... biete kom­pro­mit­tie­ren­des Ma­te­ri­al und ver­kau­fe es meist­bie­tend - zahlt der Steu­er­sün­der, hat er Glück ge­habt; ge­winnt der Staat, kann er die Steu­er­sün­der ver­kna­cken.

Es meh­ren sich die Stim­men (ins­be­son­de­re aus der Ko­ali­ti­ons­füh­rung), daß man die Daten der po­ten­ti­el­len Steu­er­sün­der kau­fen soll - für die ge­for­der­ten 2,5 Mil­lio­nen Euro könn­te man Steu­er­schul­den im Ge­gen­wert von ge­schätz­ten 100 Mil­lio­nen Euro ein­trei­ben. Ich will noch nicht ein­mal so weit gehen, über die Da­ten­schutz-Im­pli­ka­tio­nen zu reden... oder die Mög­lich­keit, daß es sich grö­ß­ten­teils um Dum­my-Da­ten oder die Daten von Un­schul­di­gen han­delt... vor­her sind zwei noch grund­le­gen­de­re Tat­sa­chen fest­zu­hal­ten:

Wer noch immer denkt, er hätte Kon­trol­le dar­über, wel­che Daten er auf so­zia­len Net­zen hin­ter­lä­ßt, der soll­te sich ein­mal un­be­dingt die­ses In­ter­view mit einem Face­book-Mit­ar­bei­ter durch­le­sen. Der tech­nisch Be­leck­te hat sowas so oder so ähn­lich be­reits ver­mu­tet - aber für die Nicht­tech­ni­ker könn­te das ein Au­gen­öff­ner sein. Und tref­fen­der­wei­se be­ginnt der Teaser­text zum In­ter­view mit

Wer mo­men­tan zu große Vor­rä­te an Pop­corn hat und nicht weiß, bei wel­cher Ge­le­gen­heit er sie los­wer­den soll, dem kann ich die ak­tu­el­len Er­eig­nis­se rund um die Si­cher­heit an Flug­hä­fen wärms­tens emp­feh­len.