Blogs

Acht Missverständnisse über Blockchain

netzpolitik.org - vor 9 Stunden 7 Minuten
- CC-BY 2.0 Descryptive.com

Ich habe einen Versuch gewagt, die kleinen und ganz großen Fragen zu beantworten, die rund um Blockchain am häufigsten für Missverständnisse sorgen. Hier also einige der typischen Fragen und Missverständnisse, denen wir dabei begegnen:

Das ist ein Gastbeitrag von Franz v. Weizsäcker (Twitter | Linkedin).

Missverständnis 1: „Blockchain ist Bitcoin“

Nein, das stimmt natürlich nicht, denn eine Blockchain ist wie ein Kontobuch, und Bitcoins sind wie die Euros, die darauf liegen. Allerdings kann man in dem Buchführungssystem ‚Blockchain‘ noch viel mehr machen, als Geld von A nach B zu übertragen. Eine Transaktion mittels einer Blockchain kann neben Geld auch den koreanischen Friedensvertrag enthalten, virtuelle Kätzchen oder vielleicht etwas sinnvollere Dinge wie Klimarisikoversicherungen, die auch deutschen Bauern durch diesen trockenen Sommer helfen könnten.

CC-BY 2.0 Descryptive.com

Statt von Blockchains sprechen wir unter Nerds eigentlich lieber von Distributed Ledger Technologies (DLT), denn darin kommt zum Ausdruck, was das System so besonders macht: Während eine herkömmliche Datenbanklösung zentral arbeitet und so eigentlich auch sehr gut Transaktionen verwalten kann, ist eine DLT verteilt, das bedeutet, es gibt keinen zentralen Administrator, der zum Beispiel die Macht hat, die Bücher zu fälschen. Stattdessen gibt es ein Konsensprotokoll mit finanziellen Anreizen, die dafür sorgen, dass die ganze Sache trotz der verteilten Architektur zusammenhält. Neben Blockchains gibt es auch eine Reihe anderer Technologien wie zum Beispiel Hashgraphs oder DAGs, die versprechen, ähnliches zu leisten. Manche sind etwas weniger dezentral und dafür etwas besser skalierbar. Nicht selten findet man auch komplett zentralisierte Lösungen, die eigentlich de facto Datenbankanwendungen sind und eher aus Marketinggründen als Blockchain bezeichnet werden.

Missverständnis 2: „Blockchain ist eine Ideologie“ CC-BY 2.0 Descryptive.com

Ein Meinungsartikel von Michael Seemann in der taz beschreibt die Blockchain-Technologie als eine Ideologie. Und da hat Michael Seeman auch ein kleines bisschen Recht. Auf den zahlreichen Blockchain-Konferenzen kann dieser Eindruck entstehen, denn dort findet man Evangelisten, Liberalisten, Showmaster und Visionäre, die in der Community einen regelrechten Guru-Status erlangt haben. Aber anders als in einer Sekte ist das Spektrum der Meinungen sehr vielfältig. Wenn man eine Gemeinsamkeit in der Ideologie erkennen möchte, dann fällt mir dazu am ehesten dieser Punkt aus der Hacker-Ethik ein: „Misstraue Autoritäten, fördere Dezentralisierung“.

Der Traum der Erfinder des Internets, dass ein wahrhaft dezentrales Netz entstehe, ist weitgehend gescheitert, unter anderem deshalb, weil werbefinanzierte Geschäftsmodelle, Datensammlungen und Netzwerkeffekte große Milliardenunternehmen hervorgebracht haben. Die Crypto-Community möchte nun diesen Traum wiederbeleben: Mit dezentralen Zahlungssystemen und dezentralen Onlinediensten, sogenannten dApps, soll das Web 3.0 aufgebaut werden, in dem statt Datenkraken der Nutzer mit selbst-souveränen Kryptographielösungen der Herr seiner eigenen Daten bleiben soll. Diese Ideologie – wenn man sie so nennen möchte – braucht natürlich auch geeignete Technologie. Und da wird es schon etwas handfester, denn viele Millionen des Krypto-Reichtums werden in Softwareentwicklung investiert, um Blockchains skalierbar zu machen, deren Energieverbrauch zu senken, Anwendungen zu entwickeln, Identitätslösungen zu integrieren und auch – das ist lange überfällig – die User Experience zu verbessern.

Missverständnis 3: „Daten in einer Blockchain sind immer korrekt“

Bei Bitcoin funktioniert das Prinzip der Datenintegrität ganz gut, denn Transaktionen können anhand von digitalen Signaturen validiert werden, bevor sie in die Blockchain geschrieben werden. Daraus entsteht allerdings der weit verbreitete Irrglaube, dass Blockchains einen magischen Zaubertrick besitzen, um die Korrektheit beliebiger Datenbestände zu garantieren. Leider gilt bei Blockchains – wie anderswo auch – das GIGO-Prinzip: Garbage In, Garbage Out. Und je komplexer eine Blockchain-Anwendung ist und je unschärfer die Datenlage oder -qualität, desto schwieriger wird es, 100% korrekte Dinge in die Transaktionsliste zu schreiben. Ein Stück weit Abhilfe schafft Machine Learning. Auch bei ungenauen Ausgangsdaten kann der Algorithmus eindeutige Entscheidungen treffen und zum Beispiel Luftbilder vom Regenwald dahingehend auswerten, inwieweit eine Abholzung stattgefunden hat oder nicht.

Missverständnis 4: „Blockchains kann man nicht regulieren“ CC-BY 2.0 Descryptive.com

Man kann eine Blockchain zwar nicht anhalten, wenn man nicht gerade das gesamte Internet ausschaltet, dennoch sind Regulierer nicht ganz machtlos. China war das erste Land, das zur Umsetzung seiner Währungspolitik den Krypto-Börsen verboten hat, Yuan in Bitcoin zu wechseln, denn das wurde bis dato als Hintertür genutzt, um Yuan indirekt in Dollar umzutauschen. Auch bei Geldwäsche und illegalen Geschäfte sind Behörden nicht machtlos. Geschätzte 90% aller Besitzer von Bitcoin-Wallets können durch Verknüpfungen/Korrelationen mit anderen Datenbanken identifiziert werden. Es gibt einige Betrugsfälle rund um die Vermarktung und den Vertrieb neuer Krypto-Tokens, sogenannter Initial Coin Offerings, die strafrechtlich verfolgt werden. Schneeballsysteme, leere Versprechungen und der Verkauf nichtexistenter Kryptowährungen gehören dazu. Insgesamt verfolgt man in Europa aber eher eine innovationsfreundliche Linie. Die neuen Krypto-Hauptstädte Berlin, Amsterdam, Paris, Valetta und Zug freuen sich über internationalen Zulauf von Kapital und Talenten. Vielleicht folgen künftig noch weitere Länder dem Vorbild aus Singapur: Regulatorische „Sandkästen“ werden hier als Ausnahmeregelungen geschaffen, um neue dezentrale Lösungen ausprobieren zu können, auch wenn sie nach geltendem Gesetz eigentlich gar nicht erlaubt wären.

Missverständnis 5: „Blockchains brauchen viel Strom“

Bitcoins verbrauchen momentan so viel Strom wie ganz Österreich, dies entspricht etwa 0,3% des weltweiten Stromverbrauches. Denn Blockchains sind Anreizmaschinen. Und die Bitcoin-Blockchain enthält einen starken Anreiz zum Stromverbrauch. Denn wer mit seiner Rechenpower am schnellsten eine komplizierte Formel löst, der gewinnt dadurch Bitcoin. Lösungen für deutlich weniger Stromverbrauch wie Proof of Stake, Sharding, u.a. gibt es schon, und sie werden von verschiedenen anderen Blockchains auch genutzt. Allerdings war der Stromfresser Bitcoin zuerst da und hat sich deshalb als eine Art „Resevekryptowährung“ etabliert. Die Preisfrage ist nun: Was muss passieren, damit die Stromverschwendung von Bitcoins durch energiesparendere Architekturen abgelöst wird? Regierungen weltweit könnten helfen, indem sie aufhören, subventionierten Strom für Bitcoin zur Verfügung zu stellen und außerdem stromsparenden Kryptowährungen Vorteile verschaffen, indem Behördenlösungen darauf implementiert werden und sie als Zahlungsmittel für Steuern und Gebühren akzeptiert werden.

Missverständnis 6: „Meine Firma/Behörde braucht auch eine Blockchain“ CC-BY 2.0 Descryptive.com

Der Mehrwert von Blockchain-Technologien gegenüber herkömmlichen Datenbanken liegt in der Dezentralisierung. Da wird also die Macht verlagert von einer zentralen Stelle an mehrere dezentrale Stellen. Das macht immer nur dann Sinn, wenn es tatsächlich einen guten Grund dafür gibt, warum man zentralen Stellen nicht uneingeschränkt vertrauen möchte.

Etwa ein Viertel der Internetwirtschaft besteht aus Transaktionsplattformen. Diese und andere Marktplätze neigen zur Monopolbildung und zu hohen Transaktionsgebühren. Sie verhalten sich auch sonst nicht immer im Interesse der Marktteilnehmer. Dezentrale Blockchin-Marktplätze handeln eher im Interesse der Marktteilnehmer, denn dort können diese ohne Mittelsmänner handeln. Die meisten geschäftlichen Anwendungen, die sich Dezentralisierung zunutze machen, befinden sich noch im Erprobungsstadium.

Der öffentliche Sektor folgt einer anderen Logik. Da kann man sich die Ausgangsfrage stellen: Gibt es einen Grund, warum eine Regierung oder Verwaltung die Kontrolle über eine Datenbanklösung aus der Hand geben sollte? In Demokratien ist die Macht von Regierungen durch Verfassung, Institutionen und Gewaltenteilung eingeschränkt. Interessant sind also Blockchain-Anwendungen im Hinblick auf Transparenz und Partizipation etwa in der Finanzverwaltung und zwischen Behörden und Verwaltungsebenen, die verschiedene Ziele verfolgen. Aber auch unterschiedliche Interessen zwischen Staaten kann man adressieren. So kann eine Blockchain-Lösung dazu dienen, zwischenstaatliche Vereinbarungen umzusetzen, zum Beispiel in der Handels- oder Klimapolitik, denn zwischen Staaten gibt es naturgemäß keine souveräne zentrale Stelle die uneingeschränktes Vertrauen genießt.

Missverständnis 7: „Blockchains lösen alle Probleme der Welt“

Vieles ist auf Blockchain denkbar, aber es gibt auch Grenzen. In Sapiens – Eine Kurze Geschichte der Menschheit beschreibt Yuval Harari, wie die Menschen als einziger Primat in der Lage waren, in Gemeinschaften von mehr als 150 Individuen zu leben — so hoch ist die Dunbar-Zahl. Homo Sapiens hat das geschafft, indem er Mythen, Religionen, und später Institutionen, Staaten, Firmen und auch Aktiengesellschaften geschaffen hat, mit denen Regeln des sozialen und wirtschaftlichen Miteinanders durchgesetzt wurden. Blockchains schaffen eine neue dezentrale Infrastruktur für vertrauenswürdige Transaktionen zwischen vielen Tausenden oder Millionen von Individuen. So wird das Vertrauen in zentralisierte Institutionen oder Firmen ersetzt durch das Vertrauen in die Blockchain, das auf Spieltheorie und Anreizsysteme der Krypto-Tokens beruht.

Der Phantasie sind also fast keine Grenzen gesetzt, welche neuen Formen der Zusammenarbeit zwischen Menschen oder auch Maschinen sich mithilfe von Anreizen und Spieltheorie entwickeln lassen. So entstehen bei den Vordenkern des Token Engineering zahlreiche neue Lösungsansätze. Die Grenzen: Der Mensch verhält sich nicht immer rational, und so können wirtschaftliche Anreize ungeeignet sein — diese Grenzen erforscht man in Behavioral Cryptoeconomics. Außerdem: In der Kryptoökonomik ist alles freiwillig, sie kennt keinen Zwang. Und ganz ohne Zwang lassen sich vielleicht doch nicht alle Probleme der Welt lösen. Mehr dazu im nächsten Punkt:

Missverständnis 8: „Blockchains machen Staaten überflüssig“ CC-BY 2.0 Descryptive.com

Die Gründerin von Bitnation, Susanne Tempelhof, glaubt daran, alle Aspekte des Zusammenlebens mit Hilfe von Blockchain und Smart Contracts dezentral, ohne Institutionen und basierend auf Freiwilligkeit lösen zu können und damit bis 2050 staatliches Handeln irrelevant zu machen. Solche libertären Gedanken haben zweifellos ihren Charme, aber kann gesellschaftliches Zusammenleben komplett ohne Zentralisierung, Institutionalisierung und Zwang funktionieren? Womöglich sind viele staatliche Funktionen dezentralisierbar, aber wenn ich an einige Kernfunktionen eines Staates, zum Beispiel das Gewaltmonopol denke, dann erzielt dieser institutionalisierte, zentralisierte Zwang einen wichtigen Mehrwert, denn dort auf der Welt, wo das Gewaltmonopol nicht funktioniert, füllen häufig rivalisierende Warlords oder Mafiagruppierungen dieses Machvakuum. Auch andere Funktionen des Gemeinwohls lassen sich nicht kryptoökonomisch lösen. Zum Beispiel soziale Umverteilung: Es gibt weltweit eigentlich keine guten Beispiele von rein freiwilligen, also philanthropisch finanzierten Sozialwesen. Funktionierende Sozialsysteme basieren auf einem Zwang, in Steuern oder andere Solidarsysteme einzuzahlen. Das kann eine auf Freiwilligkeit beruhende Blockchain nicht.

Und wie geht’s weiter?

Blockchain-Innovationen geben uns immer wieder Anlass, neu über zentrale Institutionen und deren Funktionen nachzudenken. Das kann der Ausgangspunkt für wichtige politische Reformen sein. Gerade dort auf der Welt, wo Institutionen und Gesetze scheitern, kann die Dezentralisierungstechnologie Blockchain einen großen Mehrwert entfalten. Könnte etwa die Zentralbank von Zimbabwe das Vertrauen in ihre Währungspolitik zurückgewinnen, indem die Geldmenge von Kryptoökonomik statt von Politik bestimmt würde? Kann man korrupte Gesundheitssysteme reformieren, indem die Geldflüsse der Haushaltsmittel auf einer öffentlichen Blockchain nachvollziehbar gemacht werden? Können mehr Menschen in Subsahara-Afrika mit Strom durch ein Stromnetz versorgt werden, das dezentral mit Blockchain-Anreizen, Smart Meter, Solarpanels und Batterien von Kleinunternehmen ausgebaut wird anstatt von einem monopolistischen Stromunternehmen? Kann staatlich finanzierter Journalismus unabhängig werden, indem eine dezentral kuratierte Kryptolösung das Geld verteilt anstelle einer staatlichen Stelle? Können wir eines Tages die Internetmonopole und Datenkraken durch dApps ersetzen?

Viele dieser Ideen stehen erst am Anfang. Wir dürfen uns nicht vom Blockchain-Hype blenden lassen und brauchen nüchterne Analysen dessen, was wirklich möglich ist. Aber gleichzeitig müssen wir uns für Innovation öffnen. Dafür sind tiefe Gräben zwischen Ideologien zu überwinden. Eine staatsfeindliche Ideologie der Krypto-Libertären ist genauso wenig hilfreich wie eine Ideologie, die immer am Status Quo von Institutionen und wirtschaftlichen Platzhirschen festhalten möchte.

“Form follows Function” war das Prinzip der Bauhaus-Architekten. Wenn wir nun die Blockchain als neues Baumaterial unseres Wirtschafts- und Gesellschaftsgebäudes haben, dann werden womöglich einige Strukturmerkmale in diesem Gebäude eine neue Form annehmen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Wie der Skandal um Facebook und Cambridge Analytica das kalifornische Datenschutzgesetz ermöglichte

netzpolitik.org - 16 August, 2018 - 15:23
Das California State Capitol in Sacramento, Sitz des kalifornischen Parlaments. CC-BY-SA 3.0 Andre m

Ende Juni hat das kalifornische Parlament ein neues Datenschutzgesetz verabschiedet. Der „California Consumer Privacy Act“ gibt den Menschen im bevölkerungsreichsten US-Bundesstaat erstmals das Recht, von Unternehmen zu erfahren, welche persönlichen Daten diese über sie speichern, weiterverkaufen oder mit Dritten teilen. Zudem können sie von Firmen verlangen, ihre Daten nicht mehr zu verkaufen und zu teilen oder sie ganz zu löschen.

Das Gesetz wurde maßgeblich vorangetrieben von einem kalifornischen Immobilienunternehmer, der mit Hilfe eines Volksentschiedes für den nötigen politischen Druck sorgte. Von den Technologie-Konzernen anfangs noch belächelt, sammelten er und seine UnterstützerInnen in wenigen Monaten mehr als 600.000 Unterschriften – befeuert vom Datenskandal um Facebook und Cambridge Analytica. Wie das trotz starkem Lobbying von Facebook, Google und Co. gelang, beschreibt die New York Times in einer lesenswerten Reportage:

Das öffentliche Image des Silicon Valley hatte die Snowden-Enthüllungen überlebt. Aber die Technologieunternehmen, bereits in die Verbreitung von „Fake News“ und russischer Einmischung bei den Wahlen 2016 verwickelt, waren nicht mehr die Guten. Als [Referendumsinitiator] Arney einen seiner Söhne mit in den Zug nahm, war es plötzlich einfach, die Leute dazu zu bringen, für das Referendum zu unterschreiben. „Nach dem Cambridge Analytica-Skandal war ‚Datenschutz‘ alles, was wir zu sagen hatten.“ (Eigene Übersetzung)

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Studie: Firmen tracken Nutzer*innen trotz Adblockern

netzpolitik.org - 16 August, 2018 - 08:30
Die Online-Werbeindustrie ist ein komplexes Geflecht aus vernetzten Akteuren Gemeinfrei-ähnlich freigegeben durch unsplash.com Clint Adair

Über die letzten zwei Jahrzehnte ist rund ums Online-Marketing eine hochentwickelte Industrie entstanden, die große Gewinne aus der Extraktion und Analyse von User-Daten schöpft. Doch wo diese Datenströme fließen und wer sich Daten abzwackt, ist für Außenstehende völlig intransparent. Zwei Forscher an der Northeastern University in Boston haben nun versucht, das komplexe Firmengeflecht der Online-Werbung nachvollziehbar zu machen. Ihre Studie [pdf] liefert spannende Einsichten in den Aufbau und die internen Abläufe der Online-Werbeindustrie.

Besonders beunruhigend sind die Ergebnisse mehrerer Simulationen, mit denen die Wirksamkeit von fünf Adblocking-Strategien im Hinblick auf die Privatsphäre von Nutzer*innen getestet wurde. Die populäre Browser-Erweiterung Adblock Plus etwa verhindert in der Standardeinstellung die Verbreitung der Daten ihrer Nutzer*innen nicht, weil wesentliche Werbebörsen aufgrund der Sonderregeln für akzeptable Werbung nicht blockiert werden: „Adblock Plus hat überhaupt keinen Effekt, es ist kein Stück besser als gar nicht zu blocken“, so Muhammad Ahmad Bashir, Co-Autor der Studie, kürzlich in einem Vortrag. Die besten Ergebnisse wurden mit Disconnect erzielt, das die Privatsphäre deutlich erhöht. Trotzdem: Auch die stärksten Blocking-Strategien verhindern der Studie zufolge nicht, dass Personen in 40-80 Prozent der Fälle zumindest von den einflussreichsten Unternehmen beobachtet werden, wenn sie eine Webseite besuchen.

Datenschleuder Echtzeit-Auktion

Die beiden Forscher aus Boston führen dies auf die Effekte von Echtzeit-Auktionen (engl. Real Time Bidding) an Werbebörsen (engl. Ad Exchange) zurück. Diese Werbebörsen funktionieren prinzipiell so: Eine Herausgeberin einer Webseite möchte mit Werbung Geld verdienen und wendet sich daher an eine Werbebörse (oder wird durch eine Demand-Side-Plattform an eine solche vermittelt). Sie implementiert einen JavaScript-Tracker der Werbebörse auf ihrer Webseite. Wird die Webseite von einer Person besucht, lädt sich die Werbebörse in Echtzeit die über ihren Tracker abgegriffenen User-Daten herunter. Diese können Informationen wie beispielsweise Alter, Geschlecht, besuchte Webseiten oder Interessen umfassen. An der Börse können Werbetreibende dann an einer Echtzeit-Auktion (engl. Real Time Bidding) um den Werbeplatz auf der Seite der Herausgeberin teilnehmen. Wer am meisten bietet, kann der Person mit dem gewünschten Profil eine Anzeige schalten.

Beispiel: Obwohl eine Person auf CNN nur von 4 Akteuren getrackt wird (graue Kanten), bestehen Datenströme zu 4 weiteren (rote Kanten). Dies sind Effekte von Echtzeit-Auktionen. Alle Rechte vorbehalten Screenshot

Damit die Echtzeit-Auktionen an Werbebörsen funktionieren, müssen alle Beteiligten auf dem gleichen Informationsstand sein. Denn wenn an der Werbebörse ein Slot für die Schaltung einer Werbeanzeige an eine bestimmte Person verkauft wird, können nur diejenigen wissen, um was für eine Person es sich handelt, die ihre eigenen Tracking-Identifikationsnummern für diese Person mit der Werbebörse abgeglichen haben. Dieses Abgleichen wird auch Cookie-Matching genannt.

Der springende Punkt: Alle, die an der Auktion teilnehmen und ihre Tracking-Cookies abgeglichen haben, erhalten Informationen über die Person – auch die Akteure, die die Auktion nicht gewinnen und ihre Werbeanzeige nicht ausstrahlen. Die Daten über den Besuch der Webseite fließen also nicht nur an diejenigen, die direkt an der Schaltung der Werbeanzeige beteiligt sind, sondern auch an diverse andere Akteure. Das Modell der Forscher aus Boston ist das erste, das diese Effekte von Echtzeit-Auktionen auf die Privatsphäre der User einbezieht.

Test mit zwei Millionen Werbeanzeigen

Für ihre Forschungszwecke haben die Forscher ein Netzwerk konzipiert, das die verschiedenen Akteure (Werbetreibende, Werbenetzwerke, Werbebörsen, Herausgebende, etc.) und ihre Verflechtungen darstellt. Die Werbeunternehmen wurden als Knoten dargestellt. Dort, wo zwei Knoten mit einer Kante verbunden sind, fließen Daten.

Die Informationen für das Netzwerk wurden über einen Webcrawler gesammelt, mit dem systematisch und automatisiert Produkte auf prominenten Online-Handelsplattformen (z.B. Amazon) aufgerufen wurden. Im Anschluss beobachteten die Forscher auf Plattformen wichtiger Herausgeber (z.B. CNN), ob Re-Targeting-Anzeigen für die jeweiligen Produkte erscheinen. So wurden etwa 2 Millionen Schaltungen von Werbeanzeigen herbeigeführt.

Auf diese Weise wurden praktisch Datenströme über das Nutzerverhalten des Webcrawlers aktiviert. Um diese Ströme abzubilden, wurde jede einzelne durch den Crawler aufgerufene Webseite genau untersucht. Dabei wurden die einzelnen Webseiten-Elemente im Quellcode auf ihren Ursprung zurückgeführt. Dies ermöglichte die Konstruktion des Netzwerkes: Ein Skript zum Tracken von Nutzer*innen der Firma Google, das erst während des Durchlaufens des Quellcodes einer Webseite, zum Beispiel eBay, ausgeführt wird, wurde letzterer im Netzwerk untergeordnet. Dargestellt wird dieser Datenfluss als Pfeil des Knotens eBay zum Knoten Google.

Das so entstandene Netzwerk enthält nachweislich 99 Prozent der 150 gängigsten Akteure in der Online-Werbeindustrie. In den letzten Durchläufen des Crawls wurden nur noch wenige weitere gefunden, was für die Repräsentativität des Netzwerkes spricht.

Freier Datenfluss zwischen dutzenden Firmen

Die Berechnung einiger Standardmaße zur quantitativen Beschreibung der Netzwerkstruktur erlaubt interessante Rückschlüsse über das Ökosystem der Online-Werbung. Das nachgezeichnete Netzwerk setzt sich aus 1917 Knoten (Werbeakteuren) und 26099 Kanten (Datenströmen) zusammen. Bis auf sehr wenige Ausnahmen ist das Netz eng zusammenhängend: Der Grad der Vernetzung der einzelnen Akteure in der Online-Werbeindustrie ist sehr hoch. Nutzer*innen-Daten können also grundsätzlich von jeder Werbefirma zu jeder anderen fließen.

Der Grad eines Knotens gibt an, mit wie vielen Kanten er verbunden ist. Durchschnittlich haben die Knoten im Modellnetzwerk 13,6 ein- oder ausgehende Verbindungen. Einige Datenfirmen stechen jedoch als zentrale Stellen hervor: Knapp 7 Prozent der Knoten haben einen Grad größer 50. Hinter dieser kleinen Anzahl hochgradiger Knoten stecken wichtige Werbebörsen und Netzwerke, aber auch Amazons Cloudfront Delivery Network oder Tracker wie Google Analytics, ohne die in der Online-Werbewelt derzeit nichts geht.

Durchschnittlich hat der kürzeste Weg zwischen zwei Knoten eine Länge von 2,7. Es müssen also in der Regel nur 2 bis 3 Knoten überquert werden, um von einem beliebigen Akteur zu einem beliebigen anderen zu gelangen. Weiterhin ist die Cliquenbildung (messbar über den globalen Clusterkoeffizienten) sehr ausgeprägt. Cliquen sind besonders dichte Teilbereiche des Netzwerks, in denen alle Akteure direkt miteinander verbunden sind. Diese Ergebnisse sind der Studie zufolge besonders besorgniserregend: Kurze Wege und ein großer Grad von Cliquenbildung lassen darauf schließen, dass getrackte User-Daten eines Akteurs schnell an alle anderen Mitglieder des Ökosystems gelangen. Diese schnelle Ausbreitung wird durch die wenigen wichtigen Schnittstellen im Netzwerk unterstützt.

Google besetzt die wichtigsten Knoten im Datennetzwerk Die jeweils 10 Knoten mit der höchsten Betweenness-Zentralität und dem besten PageRank Alle Rechte vorbehalten Screenshot

Die Rolle dieser wenigen Firmen, die zentrale Schnittstellen im Werbenetzwerk darstellen, haben die Forscher noch einmal gesondert untersucht. Welche Bedeutung einzelne Knoten im Netzwerk haben, kann durch die Berechnung verschiedener Zentralitätsmaße analysiert werden. Ist ein Knoten eine zentrale Schaltstelle, über die viele kürzeste Wege zwischen zwei Knoten führen, so hat er eine hohe Betweenness-Zentralität. Solche Knoten sind in der Online-Werbung wichtig zur Weiterleitung von beispielsweise Tracking-Informationen. Die entsprechenden Unternehmen leiten besonders viele Daten an andere Akteure weiter, können also besonders viele Informationen einsehen.

Der PageRank-Algorithmus, der ursprünglich von den Google-Gründern Page und Brin zur Sortierung von Suchergebnissen entwickelt wurde, wurde in der Studie zur Analyse der Relevanz einzelner Akteure herangezogen. Die Methode gewichtet die Knoten dahingehend, wie viele „wichtige Freunde“ sie haben. Hat ein Knoten besonders viele eingehende Kanten von Knoten, die selbst viele eingehende Kanten haben, rutscht er auf der PageRank-Skala nach oben. Ein hoher PageRank weist darauf hin, dass das entsprechende Unternehmen besonders viele User-Informationen erhält, oder viele Auktionen an Werbebörsen gewinnt.

Unter den 20 Akteuren mit den höchsten Betweenness-Werten und PageRanks finden sich prominente Online-Werbeunternehmen wie AppNexus (adnxs), Facebook und Integral Ad Science (adsafeprotected). Die wichtigsten Plätze nimmt jedoch Google mit seinen verschiedenen Domains (inklusive DoubleClick und 2mdn) ein. Der kalifornische Datenkonzern ist damit der unangefochtene Tracking-König. Dadurch, dass das Unternehmen gleich mehrere zentrale Knotenpunkte stellt, gibt es an ihm praktisch kein Vorbeikommen.

Gängiges Adblocking schützt nicht vor den Big Playern

Neben der Analyse der Netzwerkparameter wurden verschiedene Szenarien auf dem Netzwerk simuliert. Die Szenarien unterschieden sich darin, dass unterschiedliche Annahmen über den Datenaustausch zwischen den einzelnen Akteuren getroffen wurden. Das Ziel der Simulationen: Herauszufinden, wie sichtbar ein User für verschiedene Akteure der Werbeindustrie ist und wie viel er diesen durch Adblocking entgegensetzen kann.

In Simulationen ohne Adblocking konnten 52 Unternehmen jeweils in mindestens 91% der Fälle beobachten, wenn ein durchschnittlicher User eine Webseite besucht (gemessen wurde die Sichtbarkeit von Ad Impressions im Netzwerk). 636 Unternehmen beobachteten mindestens 50% der Webseitenbesuche. Selbst im Szenario mit den strengsten Annahmen über den Datenaustausch erreichten die 10 größten Unternehmen 89-99% der Ad-Impressions. Fast alle Informationen darüber, welche Webseiten im Internet aufgerufen werden, erreichen also die großen Werbefirmen.

Für die Simulationen mit Adblockern wurden verschiedene Knoten im Netzwerk blockiert. Der Marktführer Adblock Plus wurde mithilfe der Acceptable-Ads-Whitelist (.txt) und der EasyList-Blacklist (.txt) imitiert. In allen drei Szenarien unterschieden sich die Ergebnisse für Adblock Plus nur unwesentlich von der No-Blocking-Simulation. Disconnect und Ghostery schnitten deutlich besser ab, aber gegen einige Unternehmen können auch sie nicht viel ausrichten. 40-80% des Browsing-Verhaltens bleiben ungeschützt, je nach Adblocker und Vorannahmen im Szenario.

Auf unsere Nachfrage hin bezog Eyeo, die Firma hinter Adblock Plus, Stellung zu den Ergebnissen der Studie: „Die Studie wurde durchgeführt bevor es die Option gab, Acceptable Ads ohne Tracking zu nutzen.“ Die beiden Autoren der Studie hätten bereits zugesagt, in den nächsten Tagen eine weitere Simulation unter Berücksichtigung dieser neuen Option (keine Standardeinstellung!) bei Adblock Plus durchzuführen.

Fazit: Viele Auswege bleiben nicht

Obwohl das Modell nur eine Annäherung darstellt und bisher nicht genauer untersucht wurde, welche Art von User-Daten konkret über das Netzwerk verteilt wird, zeigt all dies bereits: Die einzelnen Akteure der Online-Werbeindustrie sind extrem gut vernetzt. Die wichtigsten unter ihnen erhalten Informationen über das Surf-Verhalten, auch wenn Adblocker verwendet werden. In ihrem Artikel empfehlen die beiden Forscher deshalb, JavaScript entweder mittels Browser-Erweiterungen wie uMatrix komplett zu deaktivieren, oder Tools wie EasyList oder EasyPrivacy einzusetzen.

Die Studie zeigt, dass ein wirksamer Selbstschutz gegen Tracking kaum möglich ist, ohne schwere Einbußen im Hinblick auf die Funktionalität (z.B. JavaScript) hinzunehmen. Einmal mehr wird deutlich, dass es endlich einer besseren gesetzlichen Regulierung von Online-Tracking bedarf. Tatsächlich wird dies in der EU seit langem diskutiert: Das EU-Parlament möchte mit der ePrivacy-Verordnung erreichen, dass Tracking nur mit expliziter Zustimmung der Nutzer*innen erlaubt sein soll und entsprechende Einstellungen in Browsern standardmäßig den Schutz der Privatsphäre beim Surfen garantieren. Unter Dauerfeuer der vereinigten Datenlobby rückt eine tatsächlich Verabschiedung der Verordnung derzeit aber in immer weitere Ferne.

Die Rohdaten, der Quellcode sowie die Netzwerkdaten (.graphml) sind öffentlich zugänglich. Muhammad Ahmad Bashir stellte die Arbeit kürzlich im Rahmen eines Vortrags auf dem diesjährigen Privacy Enhancing Technologies Symposium vor (ab 00:50:00):

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Transparenzbericht: Unsere Einnahmen und Ausgaben im Juni 2018

netzpolitik.org - 15 August, 2018 - 12:29
CC-BY-NC-SA 2.0 Oengna

Dank des Sommerlochs und damit verbundenen Entspannungsübungen außerhalb des Büros kommt der Transparenzbericht aus dem Juni jetzt etwas verspätet. Der Juni war zwar voller netzpolitisch-relevanter Debatten und vielen Artikeln bei uns. Trotzdem haben wir rund 9.000 Euro Minus gemacht. Das lag auch daran, dass externe Dienstleistungen abgerechnet wurden und wir ab und an auch mal neue Computer kaufen müssen. Aber der Reihe nach.

Im Juni haben wir 32.868,52 Euro an Spenden bekommen und damit etwas mehr als im Vergleichsmonat vor einem Jahr. 140,58 Euro kamen über einen Pressespiegel rein, 89,64 Euro haben wir über Erstattungen der Krankenkasse erhalten und 500 Euro Bußgelder dank eines freundlichen Gerichtes.

Kommen wir zu den Ausgaben. Die sind angewachsen, auch weil wir uns etwas erweitert haben. Eure Spenden vor Weihnachten haben uns etwas Polster gegeben, so dass wir jetzt auch etwas in der Redaktion wachsen konnten. Am deutlichsten wird diese Veränderung bei den Personalkosten, die im Juni bei 34.227,92 Euro lagen. Die Miete kostet traditionell 3.000,12 Euro, inklusive Kaffee-und Wasser-Flatrate, Glasfaser und Reinigungskraft. 2.111,74 Euro haben wir in Hardware investiert, die wir für den Ausbau multimedialer Formate brauchen werden und 119,40 Euro wurden für Reisekosten ausgegeben. 879,07 Euro gingen für Infrastruktur & Arbeitsmittel drauf. Dazu gehören traditionell die Kosten für unseren Server, aber auch bspw. Jahreszahlungen für Zeitschriften-Abos, da auch wir für journalistische Inhalte zahlen. 307,15 Euro für Bank- und Behördengebühren und 1.956,37 Euro für externe Dienstleistungen wie Buchhaltung und Steuerberater.

Damit haben wir im Juni 2018 genau 9.007,03 Euro Minus gemacht.

Die Top-Themen im Juni 2018

Wir haben exklusiv die Wunschliste unseres Heimatministers an die EU-Kommission veröffentlicht, wo Seehofer im Namen des Bundesinnenministerium Uploadfilter für Terrorpropaganda und weitere angedachte Ausbaustufen fordert. Wir haben die Propaganda des BKA zur Vorratsdatenspeicherung auseinandergenommen und erklärt, warum man nicht einfach alles glauben sollte, was per Pressemitteilung und mit Statistiken veröffentlicht wird. Wir haben das vermeintliche „Blogsterben“ im Rahmen der DSGVO-Einführung recherchiert.

Und berichtet, welche Fehler der EU-Rechnungshof beim hiesigen Breitbandausbau entdeckt hat (Also abgesehen davon, dass der nicht so richtig stattfand). Auf EU-Ebene entwickelte sich die Debatte über Uploadfilter im Rahmen der Urheberrechtsreform weiter. Und in Deutschland wurden Wünsche der Sicherheitsbehörden lauter, eine Berechtigung zum sogenannten Hackback zu erhalten. Wir warnten natürlich davor. Und auch vor den Staatstrojanern, die auf allen Ebenen weiter forciert werden. Und worüber wir geheime Dokumente publizierten.

Dazu erhielten wir den Günther Wallraff-Preis für Medienaufklärung der Initiative Nachrichtenaufklärung und sind immer noch stolz darauf.

Uns fehlen dieses Jahr noch 271.498 Euro bis zur Ausfinanzierung

Wir haben Anfang des Jahres mit 462.000 Euro Jahresbudget geplant und uns dabei an den Vorjahres-Spenden orientiert. Bis zum Erreichen diesen Spendenziels fehlen uns nach sechs Monaten noch 271.498 Euro an Einnahmen. Alle Einnahmen, die über diese Planungen hinausgehen, können wir in den Ausbau unseres Angebotes, mehr Recherchen und mehr Qualität investieren. Es gibt eine Vielzahl an netzpolitischen Themen, die zukünftig relevanter werden und in die wir gern mehr Zeit investieren würden. Um der Politik weiterhin kritisch mit unserer Kompetenz auf die Finger schauen und komplexe Fragestellungen von Zukunftsdebatten für Euch und andere aufbereiten zu können. Detailliert haben wir unsere Wünsche hier beschrieben. Die Themen gehen uns ja leider nicht aus, ganz im Gegenteil.

Danke für Eure Unterstützung!

Wir sagen noch einmal allen vielen Dank für die Unterstützung! Denn diese ermöglicht uns, mit viel Energie, Spaß und ausdauernder Motivation Themen zu bearbeiten, die wichtig für die digitale Zukunft sind. Das Jahr 2018 wird uns weiterhin mit einer großen Koalition auf Trab halten. Auf EU-Ebene laufen zahlreiche Gesetzesprozesse, die sonst fast niemand richtig auf dem Schirm hat. Wie diese die Netzpolitik in diesem Jahr und darüber hinaus beeinflussen, erfahrt ihr auf jeden Fall hier.

Wenn Ihr uns dabei unterstützen wollt, findet Ihr hier alle Möglichkeiten. Am besten ist ein Dauerauftrag, der uns ermöglicht, langfristig zu planen:

Inhaber: netzpolitik.org e. V.
IBAN: DE62430609671149278400
BIC: GENODEM1GLS
Zweck: Spende netzpolitik.org

Wir freuen uns auch über Spenden via Bitcoin oder Paypal.

Unseren Transparenzbericht aus dem Januar 2018, Februar, März, April und Mai kannst Du hier lesen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Soko „Schwarzer Block“: Hamburger Datenschutzbeauftragter hält Gesichtserkennung für rechtswidrig

netzpolitik.org - 15 August, 2018 - 11:55
Die Soko hat mit der Software "Videmo360" 341 Recherchen zur Gesichtserkennung durchgeführt, in 95 Fällen in der INPOL-Datei. Nur drei Personen wurden identifiziert. Alle Rechte vorbehalten Videmo

Die von der Hamburger Sonderkommission „Schwarzer Block“ eingesetzte Software zur Gesichtsanalyse hat zur Identifizierung von lediglich drei Personen geführt. Das schreibt der Hamburger Senat in der Antwort auf eine Kleine Anfrage der Abgeordneten Christiane Schneider. Die nach dem G20-Gipfel eingerichtete Soko nutzt dafür die Gesichtserkennungssoftware „Videmo360“ der Firma Videmo, die alle gängigen Bild- und Videoformate verarbeitet.

Die Fotos unbekannter Personen wurden in 95 Fällen mit dem Gesichtserkennungssystem (GES) des Bundeskriminalamtes (BKA) abgeglichen. Es greift auf die INPOL-Datenbank zu, in der Personen gespeichert sind, die erkennungsdienstlich behandelt wurden. Soweit bekannt sind dort rund vier Millionen Lichtbilder gespeichert. Laut der Antwort des Senats sind zwei Personen mithilfe des GES identifiziert worden. Es ist unklar, nach Abfrage welcher Datenbank die dritte Person namhaft gemacht worden ist.

170 BeamtInnen in der Soko „Schwarzer Block“

Insgesamt hat die Polizei mit „Videmo360“ 341 Recherchen durchgeführt, 167 davon betrafen bereits bekannte Tatverdächtige. Die Software soll helfen, ihnen weitere Straftaten nachzuweisen. In 147 Fällen seien die weiteren polizeilichen Ermittlungen durch die Technik „gefördert“ worden. Im Falle unbekannter Personen wird mit „Videmo360“ weiteres Bildmaterial gesucht, um diese mithilfe szenekundiger BeamtInnen zu identifizieren. Hunderte Fotos weiterhin unbekannter Personen hat die Polizei schließlich zur Fahndung veröffentlicht.

In der Soko „Schwarzer Block“ ermitteln zeitweilig bis zu 170 BeamtInnen. Details zu der dort genutzten Gesichtsanalysesoftware hatte der Kriminaldirektor Jan Hieber auf einer Sitzung des Sonderausschusses „Gewalttätige Ausschreitungen rund um den G20-Gipfel in Hamburg“ mitgeteilt. Demnach steht das System seit März dieses Jahres zur Verfügung. Allerdings forscht das Landeskriminalamt Hamburg bereits seit einigen Jahren mit dem BKA und dem Fraunhofer-Institut FKIE an der teil-automatisierten Auswertung von Bild- und Videomaterial. Auch in diesem Projekt „PERFORMANCE“ wird die Gesichtserkennungssoftware Videmo360 genutzt.

Hinweisportal beim BKA

Für die Ermittlungen nach dem G20-Gipfel startete die Hamburger Polizei ein Hinweisportal, das auf einem Server beim BKA installiert ist. Erstmals hatte das BKA nach Vorbild des Anschlages beim Marathon in Boston im Jahr 2013 ein solches Portal mit Uploadfunktion gestartet, auf das ZeugInnen Bilder und Videos hochgeladen haben. Im Falle des Hamburger Systems werden die Daten mit einer VPN-Verbindung vom LKA abgerufen.

Mittlerweile verfügt die Polizei über mehr als 100 Terabyte Bild- und Videomaterial zum G20-Gipfel. Gemessen an der Größe stammen die meisten Dateien (94,05 TB) aus dem öffentlichen Nahverkehr, darunter aus S- und U-Bahnhöfen, dem Hauptbahnhof, aus Bussen und U-Bahnen. Privatpersonen und Firmen haben außerdem Zehntausende Dateien auf das Hinweisportal der Polizei hochgeladen. Verarbeitet wurden außerdem Fotos und Videos, die von der Soko im Internet und bei Zeitungen gesichert wurden. Die Soko nutzte auch vier Terabyte polizeiliches Bild- und Videomaterial. Schließlich besuchten die BeamtInnen auch Tatorte, um dort ZeugInnen zu finden und diese nach möglichen Videobeweisen zu fragen. Laut Hieber sie dies „durchaus erfolgreich“ gewesen.

Helferlein von Microsoft und ESRI

Vor der Analyse mit Gesichtserkennungssoftware musste das Material gesichtet und mit einem Zeit- und Ortsstempel versehen werden. „Videmo360“ kann keine Geodaten verarbeiten, die Polizei nutzte dafür laut der Antwort auf eine frühere Anfrage Komponenten des US-Softwareherstellers Environmental Systems Research Institute (ESRI), für die bereits im Rahmen des GeoPortals der Polizei Hamburg („Portal for ArcGIS“) Serviceverträge bestehen. Weitere georeferenzierte Suchfunktionen wurden von Microsoft über ein als „VIDoGIS“ bezeichnetes Recherchetool bereitgestellt. Damit kann eine Umgebung definiert werden, um dort nach weiteren vorhandenen Bilddaten zu suchen. Einem Vortrag bei der BKA-Herbsttagung zufolge kann die Microsoft-Software Dateien verschlagworten, mehrfach vorhandene Dateien vergleichen und Duplikate löschen.

Laut Kriminaldirektor Hieber nahm die Geolokalisierung der Dateien sehr viel Zeit in Anspruch. Zunächst habe es mehrere Monate gedauert, bis die Infrastruktur zur Auswertung startklar war. Die Ermittlungen seien „mit einer sehr hohen Personenanzahl“ aus Land und Bund unterstützt worden. Unter anderem waren hierfür BeamtInnen der Landesbereitschaftspolizei mehrere Wochen zur Soko abgeordnet.

Einlesen dauerte sieben Wochen

Am Ende wurden rund 17 TB nutzbares Material (15.157 Videos und 16.480 Bilder) in die Auswerteumgebung „Bild- und Video-Massendaten Registrierung“, die für die Gesichtserkennung genutzt wird, aufgespielt. Der Server wurde vom Polizei-Dienstleister Dataport eingerichtet. Der Vorgang habe laut dem Senat sieben Wochen gedauert, da die Software in jeder einzelnen Datei „die vorhandenen/erkannten Gesichter mit einem Algorithmus berechnen musste“.

Trotz der äußerst dürftigen Erkennungsrate wird die Auswertung mithilfe von Gesichtserkennung und Geolokalisierung von der Polizei in hohen Tönen gelobt. Der Hamburger Polizeipräsident Ralf Martin Meyer beschrieb die Technik beim G20-Sonderausschuss als „konzeptionelle Weiterentwicklung von nicht unerheblichem Ausmaß“. So werde das Entdeckungsrisiko von Gewalttaten signifikant erhöht. Kriminaldirektor Hieber nennt das Verfahren einen „völlig neuen Standard in der Beweisführung“. Tatsächlich wurden viele der Videobeweise vor Gericht eingebracht und sorgten dort für drakonische und deshalb umstrittene Urteile.

Software mit „Live-Auswertefunktion“

Die Polizei will die Gesichtserkennungssoftware jetzt auch abseits des G20-Gipfels nutzen. Die von der Soko „Schwarzer Block“ eingerichteten Anlagen zur Videoauswertung sollen vom Hamburger Landeskriminalamt zur „Abarbeitung von Großereignissen“ genutzt werden, derzeit wird dort an einem entsprechenden Konzept gearbeitet. Dies dürfte neben bei der Strafverfolgung nach Demonstrationen auch Fußballspiele betreffen. Möglicherweise wird das System sogar noch technisch erweitert. „Videmo360“ verfügt über eine „Live-Auswertefunktion“, wenn die Software in Echtzeit auf Kameras zugreifen kann.

Die Polizei sieht die Nutzung von „Videmo360“ als „bloßes Hilfsmittel“ für die Sichtung von Videoaufzeichnungen, die durch die Polizei „rechtmäßig erlangt wurden“. Für jede einzelne Recherche wurde eine staatsanwaltschaftliche Verfügung beantragt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar hat damit jedoch ein Problem. Vor einem Monat schrieb er der Polizei, dass er die Technik datenschutzrechtlich überprüft hat und als rechtswidrig bewertet. Die Gesichtsanalysesoftware greift demnach in das Grundrecht auf informationelle Selbstbestimmung der Betroffenen ein.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Digitale Forensik: Mit diesen sieben Programmen liest die Polizei Smartphone-Daten aus

netzpolitik.org - 15 August, 2018 - 11:31
Tragbares Handy-Auslese-Tool von Cellebrite. Cellebrite

Verkehrsunfall, Demonstration oder Flucht: Immer öfter lesen Behörden Smartphones und andere Geräte von Verdächtigen aus. Der grüne Bundestagsabgeordnete Konstantin von Notz hat die Bundesregierung gefragt, welche Forensik-Tools oder Telefon-Cracker deutsche Behörden einsetzen. Wir veröffentlichen an dieser Stelle die Antwort in Volltext.

Deutsche Polizisten verwenden demnach Software von sieben Herstellern, allem voran von den beiden Marktführern Cellebrite aus Israel und Elcomsoft aus Russland. Bereits vor vier Jahren haben wir berichtet, dass die Polizei mit Software dieser Firmen Passwörter crackt.

Neu hinzugekommen sind Tools der Firma MSAB aus Schweden, mit denen neben Polizei und Zoll auch das Bundesamt für Migration und Flüchtlinge Handys von Geflüchteten ausliest. Weiterhin sind Produkte der US-Firmen Oxygen Forensic, Access Data und Magnet Forensics bei deutschen Polizisten im Einsatz. Die einzige deutsche Firma ist X-Ways aus Nordrhein-Westfalen. Die kürzlich gehypte US-Firma Grayshift für Apple-Geräte ist noch nicht auf der Liste.

Wie oft Handys ausgelesen werden, kann die Bundesregierung nicht sagen – darüber wird keine Statistik geführt. Im Gegensatz zu den Tools der Polizeibehörden will die Bundesregierung nicht sagen, was die Geheimdienste eingekauft haben. Das soll nicht öffentlich werden und ist als Verschlusssache eingestuft.

Wettrennen zwischen Angriff und Verteidigung

All diese Produkte versprechen, die Daten beschlagnahmter oder anderwertig eingesammelter Geräte auszulesen und zu kopieren. Bei älteren Geräten geht das oft problemlos, bei aktuellen verschlüsselten bzw. gesperrten Geräten ist mehr Aufwand notwendig. Technisch kann man beispielsweise Display-Sperren umgehen, Passwörter cracken, alternative Systeme booten oder andere Sicherheitslücken ausnutzen. Wie alles andere im Bereich IT-Sicherheit findet auch hier ein permanentes Wettrennen zwischen Angriff und Verteidigung statt.

Einen absoluten Schutz gibt es auch hier nicht, mit genug Ressourcen kann jedes Gerät ausgelesen werden. Das hat nicht zuletzt die Auseinandersetzung zwischen dem FBI und Apple bewiesen. Das Unternehmen hatte sich geweigert, ein iPhone für die Polizei auszulesen, also haben die Ermittler einfach eins dieser kommerziellen Produkte eingesetzt.

Kriminelle fangen und Kriminellen helfen

Smartphones sind heutzutage ausgelagerte Gehirne – manchmal wissen die digitalen Begleiter mehr über uns als wir selbst. Das Auslesen sämtlicher Daten ist also ein schwerer Eingriff in die Grundrechte, vergleichbar mit einem Lauschangriff im Wohn- oder sogar Schlafzimmer. Deswegen sollte die Handy-Spionage nur bei schwersten Straftaten eingesetzt werden, was aber – siehe BAMF – nicht der Fall ist.

Immerhin bekommt man als Verdächtiger mit, wenn das Handy beschlagnahmt wird. Beim Staatstrojaner werden Geräte heimlich aus der Ferne gehackt, damit ist der Eingriff noch intensiver. Wenn Polizisten die verschlüsselte Kommunikation von Verdächtigen abhören wollen (das Hauptargument für Staatstrojaner), dann sollen sie einfach das Handy beschlagnahmen und die Nachrichten extrahieren. Oft muss die Überwachung nicht heimlich und in die Zukunft erfolgen. Richter, die einen Trojaner-Einsatz genehmigen, erlauben auch die Handy-Beschlagnahme.

Staatstrojaner und Handy-Forensik haben ein gemeinsames Problem: Es müssen Sicherheitslücken ausgenutzt werden, um Schutzmaßnahmen zu überwinden. Damit haben staatliche Behörden einen Anreiz, Sicherheitslücken geheim und offen zu halten – statt sie zu melden und zu schließen. Das gefährdet die Sicherheit aller, wie der Fall WannaCry verdeutlicht hat: Kriminelle haben hunderttausende Rechner in 150 Staaten mit Schadsoftware infiziert, die US-Behörden absichlich geheimgehalten haben. Um Kriminelle zu fangen, hilft der Staat Kriminellen.

CCC: „Auslesen ausgelagerter Gehirne als Normalfall“

Frank Rieger, Sprecher des Chaos Computer Club, kommentiert gegenüber netzpolitik.org:

Offenbar gibt es einen Wildwuchs an Auslese-Tool-Beschaffungen durch die Behörden. Dass es nicht einmal eine Statistik darüber gibt, wie oft und in welchen Fällen sie eingesetzt werden, lässt nur den Schluß zu, dass das Auslesen der ausgelagerten Gehirne in unseren Hosentaschen – ohne Rücksicht auf die Privatsphäre – zum Normalfall wird. Das kann jeden treffen, der ins Visier einer Ermittlung gerät.

Grüne: „Dubiose Firmen auf sensiblen Gebiet“

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung ist noch immer nicht gewillt, im Bereich der IT-Sicherheitspolitik nur einen Jota an ihrer bisherigen Politik zu ändern. Sie arbeitet weiterhin mit einer Vielzahl hochdubioser Firmen auf einem sowohl verfassungs- wie auch menschenrechtlich extrem sensiblen Gebiet. Die zwingend notwendige parlamentarische Kontrolle hebelt sie mit lapidaren Hinweisen auf entsprechende Zusicherungen gegenüber diesen Firmen bewusst aus. Das ist schlicht nicht hinnehmbar. Auch daher klage ich mit der Gesellschaft für Freiheitsrechte und anderen gegen den unkontrollierten Einsatz vor dem Bundesverfassungsgericht.

Hier die Antwort in Volltext:

Schriftliche Frage des Abgeordneten Dr. Konstantin von Notz

2. August 2018

(Monat August 2018, Arbeits-Nr. 8/17)

Frage:

In wie vielen Fällen haben deutsche Behörden nach Kenntnis der Bundesregierung, auch vor dem Hintergrund Ihrer Antworten auf entsprechende Fragen der kleinen Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN auf BT-Drs. 19/1434, bereits Programme der Unternehmen Cellebrite (Israel), Grayshift (USA), MSAB (Schweden) und ggf. andere zur Extraktion von Daten aus Mobiltelefonen eingesetzt (bitte nach einzelnen Anbietern/Programmen und Behörden auflisten)?

Antwort:

Forensische Softwareprodukte zur Extraktion von sichergestellten bzw. beschlagnahmten Mobilfunkgeräten werden gemäß den gesetzlichen Grundlagen verwendet. Für den polizeilichen Bereich werden nachfolgende Produkte zur forensischen Untersuchung verwendet:

  • Cellebrite,
  • MSAB,
  • Elcomsoft,
  • Oxygen Forensic,
  • X-Ways,
  • Access Data und
  • Magnet Forensics

Produkte der Firma Grayshift werden nicht eingesetzt. Eine Aufschlüsselung oder statistische Erfassung hinsichtlich der Nutzung verschiedener, einzelner Produkte der oben aufgeführten Firmen erfolgt nicht. Auch kann es zu Mehrfachnutzungen eines Produktes oder zur Nutzung verschiedener Produkte während einer Untersuchung kommen. Speziell für die Zollverwaltung kommen die Produkte der Firmen MSAB und Cellebrite zum Einsatz.

Das Bundesamt für Migration und Flüchtlinge arbeitet zur Extraktion von Daten aus Mobiltelefonen ausschließlich mit seinem Vertragspartner Atos zusammen. Atos setzt für das IT-Tool u. a. Produkte des Unternehmens MSAB ein.

Die Bundesregierung ist nach sorgfältiger Abwägung der widerstreitenden Interessen zu der Auffassung gelangt, dass eine weitere Beantwortung der Schriftlichen Frage in offener Form teilweise nicht erfolgen kann. Die erbetenen Auskünfte sind schutzbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der Nachrichtendienste und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten der Nachrichtendienste stellt für die Aufgabenerfüllung von Bundesnachrichtendienst, dem Bundesamt für Verfassungsschutz und dem Bundesamt für den Militärischen Abschirmdienst einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und somit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde zu einer wesentlichen Schwächung der den Nachrichtendiensten zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung führen. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) als „VS – NUR FÜR DEN DIENSTGEBRAUCH!“ eingestuft und werden als nicht zur Veröffentlichung in einer der Bundestagsdrucksache bestimmten Anlage übermittelt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Automatisches Ausweichen: Militärische Drohnen sollen bald neben zivilen Flugzeugen fliegen

netzpolitik.org - 15 August, 2018 - 11:16
Nicht flugfähiges Modell der bei der ILA in Berlin. Alle Rechte vorbehalten Airbus

Bis 2025 wollen die europäischen Rüstungskonzerne Airbus, Dassault und Leonardo die bewaffnungsfähige „Eurodrohne“ zur Serienreife entwickeln. Die Langstreckendrohne (MALE) soll dann von der Bundeswehr und anderen Armeen der EU geflogen werden. In Deutschland sind Militärdrohnen bislang ausschließlich in eigens reservierten Lufträumen unterwegs. Das könnte sich bald ändern: Die Eurodrohne soll uneingeschränkt in den sogenannten kontrollierten Luftraum integriert werden.

Den Plänen zufolge wäre das unbemannte Flugzeug dann dem zivilen Luftverkehr gleichgestellt und würde auch der Kontrolle ziviler Fluglotsen unterworfen. Eine Voraussetzung für den Flug in zivilen Lufträumen ist jedoch der Einbau eines funktionsfähigen Ausweichsystems (See and Avoid, SAA oder Detect and Avoid, DAA). Die Drohnen sollen damit auf drohende Zusammenstöße in der Luft reagieren und automatische Flugmanöver einleiten.

Bislang nur manuelle Ausweichmanöver

Ein zuverlässiges oder gar zertifiziertes Ausweichsystem existiert laut Bundesregierung derzeit nicht. Ein System zur Vermeidung von Kollisionen ist aber notwendig, damit die Drohnen per Satellit außerhalb der Sichtweite gesteuert werden dürfen. Einen solchen in Europa bislang einmaligen Testflug haben die Rüstungskonzerne Thales und Leonardo im Rahmen eines EU-Projekts vorgenommen.

Herkömmliche Drohnen wie die von der Bundeswehr bestellte „Heron TP“ verfügen lediglich über ein Warnsystem für drohende Zusammenstöße (Traffic Alert and Collision Avoidance System, TCAS). Im Falle der „Heron“ gibt das TCAS vertikale Ausweichempfehlungen, die Drohne kann dann in den Steig- oder Sinkflug wechseln. Das Manöver muss aber von den PilotInnen der Drohne eingeleitet werden.

Warnungen kommen außerdem von einem Wetterradar, das auch in die „Heron“ der Bundeswehr eingebaut wird und Gewitterzellen erkennen soll. Zur Unterstützung sendet die „Heron“ außerdem Positions- und andere Flugdaten über ein über einen Transponder (Automatic Dependent Surveillance – Broadcast-System, ADS-B), darunter die Geschwindigkeit, Flughöhe und Kurs. Die Daten werden von der zivilen Flugkontrolle empfangen und die Lagedarstellung integriert. Auch Webseiten zur Verfolgung von Flugbewegungen werten die Transponder-Daten aus.

Verteidigungsministerium beauftragt Forschungen

Für die Nutzung militärischer Drohnen (auch für zivile Anwendungen) ist die Entwicklung eines automatischen Ausweichsystems also von entscheidender Bedeutung. Das Bundesministerium der Verteidigung (BMVg) hat deshalb „experimentelle Untersuchungen“ zum Schließen dieser „Technologielücken“ beauftragt. Dabei geht es nicht um die Entwicklung eines kompletten SAA-Systems, sondern um die Untersuchung von dessen „Kernelementen“.

Logo des vom deutschen BMVg geführten Projekt „Enhanced Remotely Piloted Aircraft System Autonomy“. Alle Rechte vorbehalten EDA

Auf EU-Ebene forscht das Verteidigungsministerium mit Militärs aus Frankreich, Italien, Schweden und Spanien an einem „Mid-air Collision Avoidance System“ (MIDCAS). Ziel ist die Entwicklung eines standardisierten europäischen Verfahrens für Ausweichmanöver unbemannter Luftfahrzeuge. An dem Projekt der Europäischen Verteidigungsagentur (EDA) nehmen aus Deutschland die Rüstungskonzerne Airbus, Diehl BGT Defence sowie die ESG Elektroniksystem- und Logistik GmbH teil, auch das Deutsche Zentrum für Luft und Raumfahrt gehört zum Konsortium. Die EDA arbeitet außerdem an der Standardisierung von Sensoren zur automatischen Bestimmung der Entfernung anderer Luftfahrzeuge.

In einem weiteren EDA-Projekt „Enhanced Remotely Piloted Aircraft System Autonomy“ untersucht das Verteidigungsministerium als Projektführer Technologien zu automatischen Starts und Landungen, dem sogenannten Taxiing auf dem Weg zum Rollfeld sowie automatische Notlandeverfahren. Die Drohnen sollen dabei in die Abläufe der zivilen Fluglotsen integriert werden. Auch hier sind Airbus und ESG beteiligt. Geplant ist, dass auch die deutschen „Heron“-Drohnen ein solches „Autonomes Start- and Lande-System“ erhalten. Es basiert auf GPS-Positionsdaten, eine ebenfalls eingebaute radarbasierte Anlage dient als Notlandesystem.

Deutsche Riesendrohnen mit Ausweichsystem

Schließlich hat die Europäische Verteidigungsagentur eine Studie zur Bewertung der Flugsicherheit von Drohnen beauftragt. Der britische Rüstungskonzern Thales und das niederländische Raumfahrtinstitut NLR haben hierfür die zur Integration in den europäischen Luftraum notwendigen automatisierten und teilautomatisierten Verfahren untersucht.

Nach eigenen Angaben hat das NLR bereits ein zuverlässiges Ausweichsystem für Helikopterdrohnen des österreichischen Herstellers Schiebel entwickelt. Für die von der Schweiz bestellten Militärdrohnen will der israelische Elbit-Konzern bis 2021 eine Technologie zur Kollisionsvermeidung entwickeln. Auch der israelische Hersteller der „Heron“-Drohnen arbeitet zusammen mit der US-Firma Honeywell an einem solchen Verfahren, das jedoch nicht einsatzbereit ist. Medienberichten zufolge ist die Kooperation von Honeywell mit dem US-Hersteller der „Predator“-Drohnen weitaus fortgeschrittener.

Bis 2023 sollen auch die US-Drohnen „Triton“ das im Auftrag der NASA entwickelte Ausweichsystem „ACAS Xu“ erhalten. Die Bundeswehr will drei dieser „Triton“ kaufen und mit Spionagetechnik von Airbus bestücken. Dem Bundesverteidigungsministerium zufolge ist die Entwicklung des „ACAS Xu“, das bereits erprobt wird, „sehr fortgeschritten“ und könnte ab 2020 verfügbar sein. Die „genaue technische Auslegung“ des Ausweichsystems für die deutschen „Triton“ will das Ministerium jetzt mit der US-Marine und den zuständigen US-Behörden abstimmen. Durchaus möglich also, dass die Riesendrohnen in wenigen Jahren im deutschen zivilen Luftraum verkehren.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Probehacken erfolgreich: Die Sicherheit der amerikanischen Wahlsysteme ist lausig

netzpolitik.org - 14 August, 2018 - 12:17
Das Hotel Caesars Palace in Las Vegas, in dem die DEF CON stattfand. CC-BY-NC 2.0 Thomas Hawk

Auf der diesjährigen DEF CON hat sich wieder ein „Voting Machine Hacking Village“ zusammengefunden. Die Teilnehmer setzten sich mit den in den Vereinigten Staaten verbreiteten Wahlcomputern, deren Technik und Verwundbarkeiten auseinander. Ziel waren dabei Angriffe auf die Systeme, um beispielsweise Wahlergebnisse manipulieren und damit konkrete Schwächen aufzeigen zu können. Im Ergebnis hielt keiner der Wahlcomputer den Angriffen stand.

Die DEF CON ist eine jährliche Hackerkonferenz in Las Vegas. Im vergangenen Jahr schon hatten die Organisatoren insgesamt 25 verschiedene Wahlsysteme zur Verfügung gestellt, die nach drei Tagen allesamt von Konferenzteilnehmern gehackt worden waren. Sie manipulierten die Ergebnisse, verseuchten die Computer mit Schadsoftware oder sabotierten sie, so dass sie nicht mehr korrekt funktionierten.

Dass die anhaltenden Diskussionen um russische Manipulationsversuche bei vergangenen und kommenden Wahlen einen Einfluss darauf hatten, das Voting Village dieses Jahr wieder anzubieten, damit hielten die diesjährigen Organisatoren nicht hinter dem Berg. Man wolle die Öffentlichkeit einerseits über Schwachstellen informieren, andererseits aber auch rechtliche Regeln und ökonomische Zusammenhänge erklären.

Es sei naiv anzunehmen, dass man die Sicherheit der amerikanischen Wahlsysteme nicht auch in Russland unter die Lupe nehme. Das beträfe aber nicht nur die Geräte an sich, sondern auch die Infrastruktur der gesamten Wahlen. Hinzu komme, dass Hardware-Komponenten oft aus China oder anderen Staaten stammen, was ein weiteres Risiko für Angriffe darstellen könnte. So steht es dann auch im Bericht des Voting Villages (pdf):

A nation-state actor with resources, expertise and motive, like Russia, could exploit these supply chain security flaws to plant malware into the parts of every machine, and indeed could breach vast segments of U.S. election infrastructure remotely.

(Ein staatlicher Akteur mit Ressourcen, Expertise und Motivation, wie Russland, könnte die Sicherheitslücken der Lieferkette ausnutzen, um Schadsoftware in Komponenten jeder Maschine einzupflanzen, und dann tatsächlich aus der Ferne in große Bereiche der US-Wahlinfrastruktur einbrechen.)

Es drängt sich die Frage auf, warum das Problem der Wahlcomputer mitsamt den strukturellen Schwachstellen in den Vereinigten Staaten noch immer wie eine Marginalie behandelt wird. Politiker lamentieren lieber über Werbung bei Facebook, statt sich diesem drängenden Problem zu widmen. Dabei wäre es durchaus lösbar. Denn um die gröbsten Schwächen zu beheben, braucht es keine Magie. Es ist eher eine Frage des Geldes. Denn Geld müsste man in die Hand nehmen, um veraltete Wahlcomputer aus dem Verkehr zu ziehen, IT-Sicherheitsprüfungen zu finanzieren, Wahlbeteiligte zu schulen, mehr Tests durchzuführen oder die Wahlinfrastruktur zu erneuern.

Die Regierung des derzeitigen Präsidenten Donald Trump schiebt den Schwarzen Peter dem Vorgänger Barack Obama zu: Er sei für die Sicherheitslücken verantwortlich. Immerhin will die US-Regierung jetzt 250 Millionen Dollar für ein „emergency election security funding“ (Wahlsicherheitsnotfallprogramm) lockermachen. Die Organisatoren des Voting Villages halten das nicht für ausreichend, allenfalls für einen Anfang.

Testen, angreifen, zerforschen

Versuche, die Sicherheit von Wahlcomputern zu testen, haben bei der DEF CON schon eine lange Tradition, erfahren aber mit jedem Jahr mehr Aufmerksamkeit und sind seit letztem Jahr in einem eigenen Voting Village konzentriert. Im Grunde ist das Konzept einfach: Man bietet den anwesenden Hackern mitgebrachte Hard- und Software verschiedener Typen von Wahlcomputern an und wartet, was sie damit anstellen. Sie konnten die dreißig verschiedenen Wahlsysteme testen, angreifen, durften dabei alle Funktionen ausprobieren oder die Hardware zerforschen.

Matt Blaze, Professor für Informatik an der University of Pennsylvania und Mit-Organisator des Voting Villages: „Für mich ist das aufregendste und wirklich wichtigste Ergebnis des Voting Villages, dass wir dazu beigetragen haben, den Kreis von unabhängigen Experten, die mit Wahltechnologien vertraut sind, von einigen Dutzend auf buchstäblich Tausende zu erhöhen.“

Ziel ist es dabei auch, eine Diskussion anzustoßen und Wege aufzuzeigen, wie man Probleme einhegen kann und wie Hacker daran mitwirken könnten. Explizit wurde auch den Organisatoren der Wahl angeboten, sich weiterzubilden und zu lernen, wie Angriffswege praktisch aussehen. Tatsächlich kamen über einhundert solcher Wahlbeteiligter, um sich zu informieren und zu diskutieren.

Eines der Highlights dieses Jahr dürfte das Umfunktionieren eines der Wahlcomputer in eine Jukebox gewesen sein, die Musik und kleine Animationen abspielt. Ähnlich wie beim Wahlcomputer-Hack in Europa, wo ein Schachspiel auf einem Wahlcomputer zum Laufen gebracht wurde, gehen auch die amerikanischen Hacker mit Freude am Ausprobieren ans Werk. Hilfe hatten sie aber auch von europäischen Gleichgesinnten wie Carsten Schürmann, Forscher aus Kopenhagen, dessen Hack CNET beschreibt. Er brauchte nur anderthalb Stunden, dann war eine Schwachstelle eines Wahlcomputers gefunden und ausgenutzt. Auf einem anderen der Wahlcomputer (WinVote) wurden zwischen Daten des Betriebssystems Windows XP überraschend über 1.700 Dateien entdeckt, darunter mp3-Audiodateien mit chinesischen Popsongs.

Die meisten der Modelle wurden aber schlicht manipuliert, um die Ergebnisse oder die Kandidatenzuordnung zu verfälschen. Zugriff auf den Quellcode der Wahlcomputer oder andere proprietäre Informationen hatten die Teilnehmer dabei nicht, sofern sie nicht legal öffentlich zugänglich waren. Die Organisatoren wiesen süffisant darauf hin, dass ein böswilliger Akteur sich solche Informationen allerdings beschaffen würde und damit ein leichteres Spiel gehabt hätte.

Auch Kinder und Jugendliche konnten mitmischen. Sie schafften es, eine extra für die Veranstaltung erstellte Kopie der Website für die Darstellung der Wahlergebnisse in Florida zu hacken und zu verändern. Ein elfjähriges Kind brauchte für die einfache SQL Injection nur zehn Minuten. Für Spott war gesorgt, die BBC nannte es ein „Kinderspiel“, die Ausgabe der Wahlergebnisse zu manipulieren. Nach Angaben der Organisatoren hatte man den Website-Hack deshalb von einer Gruppe von etwa fünfzig Kindern durchführen lassen, weil die Manipulation für erwachsene Hacker zu einfach gewesen wäre.

Kaum Reaktion auf ernste Sicherheitsprobleme

Das Spielerische hat allerdings einen ernsten Hintergrund: In den Vereinigten Staaten sind Wahlcomputer weitverbreitet, ein Großteil der Wahlen wird damit abgewickelt. Das ist auch ein Grund dafür, dass die Ergebnisse des Voting Villages wie schon im letzten Jahr politisch diskutiert wurden. Dass sich die Wahlsysteme als anfällig für Manipulationen erwiesen haben, ließ auch die zuständigen Behörden nicht kalt. Denn gerade im aktuell aufgeladenen politischen Klima und mit den bevorstehenden Midterm-Wahlen im November kann schon das Misstrauen in die digitalen Wahlsysteme fatal wirken. Die Ergebnisse der Hackertests mitsamt dem Spott über die Herstellerfirmen tragen sicher nicht zur Vertrauensbildung in Wahlcomputerergebnisse bei.

So äußerte sich die National Association of Secretaries of State (NASS, Innenminister der US-Bundesstaaten) zwar durchaus lobend über das Voting Village und die Versuche, auf Schwachstellen hinzuweisen. Allerdings dürfe man auch nicht vergessen, dass es sich um bloße Demonstrationen handele, die im tatsächlichen Leben wegen prozessualer Vorschriften nicht durchführbar seien. Man hätte bei der DEF CON eine „Pseudo-Umgebung“ erschaffen, zudem seien viele der Wahlcomputer-Modelle veraltet. Da hielten die Organisatoren des Voting Villages entschieden dagegen: Jedes einzelne den Hackern zur Verfügung gestellte Modell sei aktuell in Verwendung.

Die Mitteilung des NASS erinnert an die Rückzugsgefechte in einigen Staaten in Europa. Sie hatten nach Bekanntwerden ernster Sicherheitsprobleme bei Wahlsystemen zunächst auch auf angebliche sichere Umgebungen verwiesen, die solche Hacks verhindern würden. Die Situation in den Vereinigten Staaten ist aber deswegen komplexer, weil Wahlcomputer verschiedener Hersteller in den Bundesstaaten schon seit vielen Jahren im Einsatz sind. Die Anforderungen an die Anbieter und die Praxis der Zulassung und Nutzung sind nicht einheitlich geregelt. Transparenz im Umgang mit elektronischen Wahlsystemen wird daher nicht erst seit den neuesten Ergebnissen auf der DEF CON gefordert.

Dass einzelne Hersteller auf die gezeigten Hacks schnell reagieren und Sicherheitslücken schließen, ist unwahrscheinlich. Die Organisatoren des Voting Villages haben dennoch angekündigt, in den kommenden drei Jahren jeweils wieder bei der DEF CON ihr Probehacken anzubieten. Schließlich droht in drei Jahren die Wiederwahl von US-Präsident Donald Trump.

Allerdings kann man vielleicht auch die positive Seite an der US-Wahlcomputerkrise sehen: Wenn sich nichts ändert, entscheidet eben statt des Wählers der geneigte Hacker. Die Frage wird dann nur sein, ob und wenn ja, wofür ihn wer bezahlt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Google speichert Standort auch bei ausgeschaltetem „Standortverlauf“

netzpolitik.org - 13 August, 2018 - 18:12
Beispiel von AP über von Google gespeicherte Standortdaten Alle Rechte vorbehalten Screenshot/AP

Wie die Nachrichtenagentur AP berichtet, speichert Google den Standort seiner NutzerInnen, auch wenn diese den Standortverlauf ausgestellt haben. Die Journalisten bezeichnen dies als „irreführend“ und bezweifeln, dass Google-NutzerInnen sich über die Speicherung ihres Standorts bewusst sind. Den Vorwürfen liegen zwei verschiedene Google-Funktionen zugrunde, die auf Standortdaten zurückgreifen. Der „Standortverlauf“ zeichnet alle Orte auf, die NutzerInnen mit einem eingeschalteten und bei Google eingeloggten Gerät, zum Beispiel einem Android-Handy, besuchen. Diese Funktion lässt sich in den Einstellungen des Google-Kontos ausschalten. „Wenn Sie den Standortverlauf deaktivieren, werden die von Ihnen besuchten Orte nicht mehr gespeichert“, heißt es dazu in der Erklärung von Google.

Wer denkt, damit Google das Speichern jeglicher Standortdaten verboten zu haben, liegt falsch. Denn der Konzern speichert standardmäßig den Standort auch bei jedem Suchvorgang, dem Aufrufen von Google-Maps und weiteren Google-Diensten. Diese werden unter „Meine Aktivitäten“ gespeichert und für zielgerichtete Werbung genutzt. Möchte ein Nutzer auch diese Standortspeicherung abschalten, muss er das Speichern von „Aktivitäten“ hier vollständig abstellen. Der Informatiker Jonathan Meyer von der Princeton Universität kritisiert die irreführenden Bezeichnungen und Funktionen gegenüber AP:

Wenn du Nutzern erlaubst, etwas zu deaktivieren, das sich „Standortverlauf“ nennt, dann sollten alle Orte deaktiviert werden, an denen du einen Standortverlauf hast. Das scheint eine ziemlich einleuchtende Position zu sein. (Eigene Übersetzung)

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Zwei Jahre später: Facebook gibt endlich Informationen über den Brexit-Wahlkampf frei

netzpolitik.org - 13 August, 2018 - 16:55
Kleine Einblicke in das Geheimnis der "Dark Ads" Gemeinfrei-ähnlich freigegeben durch unsplash.com Stefan Steinbauer

Zwei Jahre nach dem Ende des Brexit-Wahlkampfes hat Facebook Werbeanzeigen veröffentlicht, die potenzielle Wähler vor dem EU-Referendum in ihrem Newsfeed zu sehen bekamen. Dabei handelt es sich um sogenannte „Dark Ads“, welche nur ausgewählten Nutzern angezeigt werden und ansonsten nicht zugänglich sind. Facebook veröffentlichte die Kampagnen nicht aufgrund neuer Transparenzbemühungen, sondern erst nach mehrfacher Aufforderung des parlamentarischen Ausschusses des britischen Unterhauses, der den Einfluss von gezielter Desinformation auf den Wahlkampf untersucht, auch von Seiten Russlands.

Wer „Dark Ads“ nicht sieht, kann auch nicht gegen sie vorgehen, wenn sie falsche Informationen enthalten. Aus diesem Grund fordert der parlamentarische Ausschuss in seinem Zwischenbericht von den großen IT-Konzerne vor allem mehr Transparenz. Im Fall politischer Anzeigen soll ersichtlich sein, wer diese veröffentlicht und wer dafür bezahlt hat. In den USA ist das bereits geltende Praxis. Außerdem fordern die Abgeordneten ein digitales Archiv für veröffentlichte Wahlwerbung. Politische Anzeigen müssen einem klaren Absender zugeordnet sein, so soll der Einfluss anonymer Geldgeber beschränkt werden.

Die Abgeordneten kritisieren Facebook vehement. „Immer wieder hat Facebook bis hin zur Verschleierung vermieden, unsere schriftlichen und mündlichen Fragen zu beantworten.“ Die Veröffentlichung von Werbeanzeigen verschiedener Brexit-Kampagnen erfolgte kurz nach dem Zwischenbericht des Untersuchungsausschusses.

Klare Themensetzung der Brexit-Kampagne

Was auffällt, ist der klare Themenfokus der Leave-Kampagnen: Die offengelegten Werbeanzeigen beschäftigten sich vor allem mit dem Thema Migration, welches von den Initiatoren der Kampagnen gezielt bedient wurde. Dies bestätigte auch Arron Banks vor dem britischen Untersuchungsausschuss. Der Millionär zahlte der Brexit-Kampagne 8,4 Millionen Pfund – angeblich aus seinem Privatvermögen, obwohl er dies bis heute nicht glaubhaft darlegen konnte. „Meine Erfahrung mit sozialen Medien ist, dass sie ein Feuersturm sind, der wie ein Buschfeuer über alles fegt. […] Die Einwanderungsfrage war es, die die wilden Feuer in Brand setzte“.

Dieses Potential der Angstmache und Aufregung nutzte die Kampagne bewusst aus, auch mit Anzeigen, die eindeutig falsche Informationen enthielten, wie Journalisten des Recherchezentrums correctiv.org aufgezeigt haben. So suggerierte ein Motiv, durch den Beitritt der Türkei zur EU drohe Großbritannien die Einwanderung von Millionen Türken. Richtig ist: Die Türkei ist Beitrittskandidat der Europäischen Union. Die Verhandlungen laufen allerdings seit Jahren und ein konkretes Beitrittsdatum ist nicht in Sicht. Ein anderes Motiv sagte aus, die EU gewähre den Türken visafreies Reisen. Tatsächlich benötigen Türken ein Visum für Reisen nach Europa. Diese Falschinformationen widerlegen, das hätten während des Wahlkampfs 2016 nur diejenigen gekonnt, die sie tatsächlich im Newsfeed zu sehen bekamen. Nur so hätte zum damaligen Zeitpunkt eine Untergrabung des öffentlichen Diskurses verhindert werden können.

 

 

 

 

 

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Neue Netzpolitische Gremien: Datenethikkommission besetzt, Digitalrat noch nicht

netzpolitik.org - 13 August, 2018 - 15:18
Kommissionen, Räte, Councils: Die Bundesregierung will netzpolitische Weichenstellungen durch einige neue Gremien vorbereiten lassen Gemeinfrei-ähnlich freigegeben durch unsplash.com

In dieser Legislaturperiode soll es mit der Netzpolitik in Deutschland endlich so richtig vorangehen. Weil die Unionsparteien und die SPD hierfür jedoch keine gemeinsamen Visionen haben, enthält der Koalitionsvertrag vor allem zwei Dinge: Prüfaufträge und Verabredungen zur Einsetzung neuer Gremien. So soll es bald etwa eine „Kommission Wettbewerbsrecht 4.0“ geben, eine Datenethikkommission und auf europäischer Ebene ein „Innovationsboard“. Im Bundeskabinett wurde ein Digitalausschuss gebildet, in einigen Ministerien neue Abteilungen geschaffen.

Eine zentrale Rolle soll in dieser Legislaturperiode eigentlich auch ein Digitalrat spielen, der einen „engen Austausch zwischen Politik und nationalen sowie internationalen Experten“ ermöglichen soll. Das im Kanzleramt angesiedelte Gremium wurde nach der Wahl prominent von Unionsfraktionschef Volker Kauder angekündigt und soll die Bundesregierung beraten. Der Anspruch ist hoch: „Wir wollen, dass die klügsten Köpfe sich in den Dienst dieser Umgestaltung stellen“, hieß es im Wahlprogramm der Unionsparteien über den zu schaffenden Arbeitskreis. Das scheint jedoch leichter gesagt als getan.

Als Kanzleramtsminister Helge Braun bei einem Interview im März danach gefragt wurde, sagte der CDU-Politiker, es gäbe zwar noch keine Namensliste, aber viele Ideen. Auch Monate später ist hier kein Fortschritt zu erkennen: Vor der parlamentarischen Sommerpause hatte Grünen-Politiker Konstantin von Notz bei der Bundesregierung angefragt, wie es um die Besetzung des Gremiums stehe und wann es seine Arbeit aufnehme. Die lapidare Antwort aus dem Kanzleramt [PDF, S. 4]: Die personelle Besetzung des Digitalrates stehe noch nicht fest. Das Gremium werde seine Arbeit aufnehmen, wenn die Besetzung abgeschlossen sei.

Unternehmer beraten Dorothee Bär zu „Flugtaxis“

Bereits getagt hat bisher offenbar nur ein „Innovation Council“ der Staatsministerin für Digitalisierung, Dorothee Bär. Auf der ersten Sitzung durfte die Runde um Frank Thelen, der seit 2017 in „Flugtaxis“ investiert, und Daniel Wiegand, der mit seiner Firma „Flugtaxis“ herstellen will, mit der Staatsministerin über ein Thema beraten, das ihr besonders am Herzen liegt: Die Förderung von „Flugtaxis“.

So weit, so wenig. Konkrete Fortschritte kann die Bundesregierung ein knappes Jahr nach der Bundestagswahl bei der sogenannten Datenethikkommission vorweisen, deren Schaffung ebenfalls im Koalitionsvertrag vereinbart wurde. Dieses Expertinnengremium soll „Regierung und Parlament innerhalb eines Jahres einen Entwicklungsrahmen für Datenpolitik, den Umgang mit Algorithmen, künstlicher Intelligenz und digitalen Innovationen“ vorschlagen. Mitte Juli beschloss das Bundeskabinett die Zusammensetzung der Kommission, am 5. September soll sie bei einem Termin in Berlin die Arbeit aufnehmen.

Die Große Koalition hofft damit auf einen Durchbruch im umstrittenen Feld der Datenpolitik: Wie die großen wirtschaftlichen Versprechen des Datenkapitalismus mit dem Grundrecht auf Datenschutz in Einklang gebracht werden sollen, ist für viele eine ungeklärte Frage. Auch hier sind die selbst gesteckten Erwartungen hoch. Kanzleramtsminister Braun versprach im Zuge des Datenskandals um Facebook und Cambridge Analytica eine grundsätzliche „Neuordnung des Datenrechts“. Diese soll durch die Kommission vorbereitet werden.

Datenethikkommission: Einige bekannte Gesichter

Hinter den Kulissen war deshalb lange über Ausrichtung und Besetzung des Gremiums verhandelt worden. Denn wer das Gremium besetzt, gibt die Richtung vor. Am Ende hat sich die Koalition deshalb darauf geeinigt, die Federführung auf zwei Ministerien zu verteilen: Das CSU-geführte Innen- und das SPD-geführte Justizministerium. Beide Häuser wählten jeweils die Hälfte der 16-köpfigen Kommission aus. Auch im Vorsitz des Gremiums spiegelt sich die Doppelstruktur: Das Amt der Sprecherin teilen sich die Rechtswissenschaftlerin Christiane Wendehorst von der Universität Wien und die Medizinethikerin Christiane Woopen von der Universität Köln.

Neben weiteren Personen aus dem akademischen Feld (Recht, Informatik, Ethik, Theologie) finden sich auch einige bekannte Personen aus der Datenschutzwelt in dem Kreis: Die Bundesdatenschutzbeauftragte Andrea Voßhoff und die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen. Auch der Jurist Paul Nemitz, in der EU-Kommission federführend an der Ausarbeitung der Datenschutzgrundverordnung beteiligt, sitzt in dem Gremium. Außerdem Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands. Selbstverständlich kommt auch die Wirtschaft nicht zu kurz: Mit Dieter Kempf sitzt auch der Vorsitzende des Bundesverbandes der Deutschen Industrie am Tisch, mit Christin Schäfer die Geschäftsführerin einer Datenanalysefirma.

Die Datenethikkommission ist trotz inhaltlicher Überschneidungen übrigens nicht zu verwechseln mit der jüngst eingesetzten Enquete-Kommission Künstliche Intelligenz des Bundestages und ist auch unabhängig von der für den Herbst angekündigten KI-Strategie der Bundesregierung. In den jüngst veröffentlichten Eckpunkten für diese Strategie kündigte sie jedoch an, die Ergebnisse der auf ein Jahr angelegten Ethikkommission dann bei der Umsetzung der Strategie zu berücksichtigen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Kritik von allen Seiten für Googles chinesische „Zensurmaschine“

netzpolitik.org - 13 August, 2018 - 12:18
Eine Verkäuferin im chinesischen Qingdao schaut auf ihr Smartphone CC-BY 2.0 Gauthier Delecroix

MenschenrechtlerInnen, MitarbeiterInnen und US-Politiker kritisieren die Pläne von Google für eine zensierte Suchmaschine für den chinesischen Markt. „Ein dunkler Tag für die Freiheit“, kritisiert Amnesty International. „Es besteht die Gefahr, dass sich Google an Menschenrechtsverletzungen mitschuldig macht“, warnen sechs US-Senatoren. Der Konzern sitzt die Veröffentlichung bislang aus und äußert sich nicht konkret zu seinen Plänen. Chinesische Staatsmedien bestritten eine Zusammenarbeit.

Anfang des Monats berichtete das US-amerikanische Magazin The Intercept über die geheimen Konzernpläne mit dem Codenamen „Dragonfly“, in die nur einige hundert Mitarbeiter eingeweiht waren. Demnach entwickelt Google zusammen mit einem unbekannten Partner eine Suchmaschinen-App, die der chinesischen Regierung nicht genehme Internetseiten und Suchbegriffe zensiert. Dazu zählen etwa die Wikipedia und die New York Times, aber auch Informationen über das Tiananmen-Massaker und jegliche Regierungskritik. Die App, von einem kritischen Google-Mitarbeiter gegenüber Bloomberg als „Zensurmaschine“ bezeichnet, soll in sechs bis neun Monaten fertig sein. (Mehr über Internetzensur in China.)

Zensur herausfordern statt anwenden

MenschenrechtsaktivistInnen reagierten mit einhelliger Kritik auf die Enthüllungen. „Es wird ein dunkler Tag für die Freiheit des Internets, wenn Google den extremen Zensurregeln Chinas zustimmt, um Zugang zum Markt zu erhalten“, meint Patrick Poon, China-Experte bei Amnesty International. Die NGO fordert Google auf, sich auf den Leitspruch der Google-Mutter Alphabet („Do the right thing – Mach das Richtige“) zu besinnen und das Suchmaschinen-Projekt aufzugeben.

„Technologie-Firmen sollten die chinesische Zensur herausfordern – nicht sich daran beteiligen“, kritisiert auch Cynthia Wong, Internet-Expertin von Human Rights Watch. Die Menschenrechtsorganisation erinnert an den Rückzug von Google vom chinesischen Markt. Google betrieb bereits von 2006 bis 2010 eine zensierte Suchmaschine in China, stellte sie jedoch nach harscher Kritik an seiner Zusammenarbeit mit der chinesischen Regierung 2010 ab.

Normalisierung der chinesische Zensur

„Google zog sich 2010 aus China zurück, weil die Lage der Menschenrechte und der Cybersicherheit zu brisant war“, sagt Wong. Seitdem habe sich die Repression gegenüber AktivistInnen noch einmal verstärkt und die Regierung habe neue Überwachungsgesetze erlassen, erklärt die Menschenrechtlerin. Google habe bisher nicht erklärt, was sich seit seinem Rückzug 2010 in China verbessert habe. Auf diese Frage verlangen auch sechs US-Senatoren in einem offenen Brief Antwort, den Demokraten und Republikaner unterschrieben haben. Sie bezeichnen darin Googles Chinapläne als „sehr verstörend“ und wollen ebenso wissen, wie die App über die Blockade von Webseiten und Suchbegriffen entscheidet.

Unter der Leitung von Sundar Pichai, seit 2015 Google-CEO, kehrt der Konzern langsam in den chinesischen Markt zurück. 2017 veröffentlichte Google eine Version seiner Übersetzungsapp in China, gefolgt in diesem Jahr von einer Dateimanager-App und der Ankündigung, ein Forschungszentrum zu Künstlicher Intelligenz in Peking zu eröffnen. Durch eine Beteiligung an den chinesischen Zensurbemühungen würde Google diese normalisieren und legitimieren, warnt deshalb Reporter ohne Grenzen.

Anfang des Jahres geriet auch Apple in Kritik, nachdem der Konzern ankündigte, künftig die iCloud-Daten sowie die Schlüssel chinesischer Nutzer in China zu speichern. Das erleichtert es chinesischen Behörden, auf dort abgelegte Daten zuzugreifen.

Scharfe Kritik aus dem Konzern

Die Liste an KritikerInnen ließe sich problemlos um Dutzende weitere Organisationen und Einzelpersonen erweitern, darunter Access Now oder Lokman Tsui, ehemaliger Google-Beauftragter für Meinungsfreiheit für Asien und Pazifik. Bemerkenswert ist jedoch die Welle an Kritik aus dem Hause Google selbst, die in die Medien schwappt. Die Menschen würden darauf vertrauen, dass Google wahrhaftige Informationen weitergibt und die chinesische Suchmaschine wäre ein Verrat daran, sagte ein Google-Mitarbeiter Bloomberg.

Andere Mitarbeiter kritisieren die Pläne in den internen Google-Foren, unter anderem in Form von Memes. Ein Meme zeige einen chinesischen Internetnutzer auf der Suche nach Informationen über das Massaker auf dem Tiananmen-Platz, berichtet The Intercept. Stattdessen bekomme er ein Ergebnis, das besagt, dass die Gräueltat ein Mythos war.

Die Vorkommnisse erinnern an frühere Vorhaben von Tech-Konzernen, die nach ethischen Bedenken eingestellt wurden. So plante Facebook eine zensierte Version seines sozialen Netzwerks für China und verzichtete nach öffentlicher und interner Kritik auf eine Veröffentlichung. Vor wenigen Monaten geriet eine Kooperation von Google mit dem US-Militär bei der Entwicklung von Drohnentechnologie ans Licht der Öffentlichkeit. Nachdem hunderte Google-Mitarbeiter das Projekt als unvereinbar mit den Google-Werten kritisierten, nahm der Konzern von den Plänen Abstand.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Pirat Aleks A.: Interessante Links und Nachrichten 06.08.2018ff

Blogs - 12 August, 2018 - 20:30
Kategorien: Blogs

Piraten Ulm: Piraten unterstützen Grünen-Antrag

Blogs - 10 August, 2018 - 22:49

Die Ulmer Piraten unterstützen den lobenswerten Antrag der Grünen Fraktion, Geflüchtete in Ulm unterzubringen. Hierbei sollen die Ziele der Initiativen aus Köln, Bonn und Düsseldorf für die Aufnahme in Seenot geratener Menschen auch hier in Ulm umgesetzt werden. Zahlreiche Ulmer Bürger unterstützen die Aktion Seebrücke, zudem sind die Kapazitäten vorhanden.

Die Ulmer Piraten teilen den Wunsch der Grünen hier, ein Miteinander auf niedrigster Organisationsebene zu schaffen. Dies ist notwendig, da die höheren Ebenen dabei leider weiterhin versagen. Wir begrüßen auch, dass endlich wieder der Mensch und dessen Überleben im Fokus steht und nicht dessen Entfernung aus unserem täglichen Leben.

Die Ulmer Piraten hoffen, dass den Geflüchteten möglichst schnell und unbürokratisch geholfen wird und dass Ulm zu den ersten vier Städten gehört, die deutschlandweit Nachahmer finden mögen.

Kategorien: Blogs

Piraten Offenburg: Einladung zur Aufstellungsversammlung Liste Ulm am 25.08.2018

Blogs - 10 August, 2018 - 22:42

Wir laden Dich zur Aufstellungsversammlung der Piratenpartei Deutschland, Aufstellung Liste Ulm zur Kommunalwahl 2019 ein. Die Aufstellungsversammlung beginnt um 16:30 Uhr, Aufbau und Akkreditierung ab 16 Uhr.

Datum: Samstag, 25.08.2018
Beginn: 16:00 Uhr (Aufbau/Akkreditierung), 16:30 Uhr (Versammlungsbeginn)
Versammlungsort: Phi, Römerstraße 75/1, 89077 Ulm

Im Folgenden die vorläufige Tagesordnung
1. Eröffnung und Formalien
2. Begrüßung
3. Wahl des Versammlungsleiters
4. Wahl des Protokollanten
5. Wahl des Wahlleiters
6. Abstimmung über die Geschäftsordnung
7. Abstimmung über die Tagesordnung
8. Wahlzeugen
9. Vorstellung und Wahl des Programms
10. Vorstellung der Kandidaten
11. Wahl der Liste
12. Wahl bzw. Bestimmung der Vertrauenspersonen
13. Sonstiges
14. Schließung der Aufstellungsversammlung

Stimmberechtigt ist jeder Ulmer Bürger, der seinen Erstwohnsitz in Ulm hat, mindestens 16 Jahre alt und Staatsbürger eines EU-Mitgliedsstaates ist – genau die Mitglieder, die auch bei der Gemeinderatswahl wahlberechtigt sind.

Zur Feststellung der Stimmberechtigung ist die Vorlage eines Personalausweises oder eines Reisepasses mit Meldebescheinigung unbedingt erforderlich!

In den nächsten 2 Wochen werden wir euch weiter über den Verlauf informieren und näheres bekannt geben. Es freut sich auf eure Einmischung.

Euer Vorstand

Kreisverband Ulm/Alb-Donau-Kreis

Kategorien: Blogs

Piraten Ulm: Einladung zur Aufstellungsversammlung Liste Ulm am 25.08.2018

Blogs - 10 August, 2018 - 22:30

Wir laden Dich zur Aufstellungsversammlung der Piratenpartei Deutschland, Aufstellung Liste Ulm zur Kommunalwahl 2019 ein. Die Aufstellungsversammlung beginnt um 16:30 Uhr, Aufbau und Akkreditierung ab 16 Uhr.

Datum: Samstag, 25.08.2018
Beginn: 16:00 Uhr (Aufbau/Akkreditierung), 16:30 Uhr (Versammlungsbeginn)
Versammlungsort: Phi, Römerstraße 75/1, 89077 Ulm

Im Folgenden die vorläufige Tagesordnung
1. Eröffnung und Formalien
2. Begrüßung
3. Wahl des Versammlungsleiters
4. Wahl des Protokollanten
5. Wahl des Wahlleiters
6. Abstimmung über die Geschäftsordnung
7. Abstimmung über die Tagesordnung
8. Wahlzeugen
9. Vorstellung und Wahl des Programms
10. Vorstellung der Kandidaten
11. Wahl der Liste
12. Wahl bzw. Bestimmung der Vertrauenspersonen
13. Sonstiges
14. Schließung der Aufstellungsversammlung

Stimmberechtigt ist jeder Ulmer Bürger, der seinen Erstwohnsitz in Ulm hat, mindestens 16 Jahre alt und Staatsbürger eines EU-Mitgliedsstaates ist – genau die Mitglieder, die auch bei der Gemeinderatswahl wahlberechtigt sind.

Zur Feststellung der Stimmberechtigung ist die Vorlage eines Personalausweises oder eines Reisepasses mit Meldebescheinigung unbedingt erforderlich!

In den nächsten 2 Wochen werden wir euch weiter über den Verlauf informieren und näheres bekannt geben. Es freut sich auf eure Einmischung.

Euer Vorstand

Kategorien: Blogs

Netzpolitischer Wochenrückblick KW 32: Regulierung sozialer Netzwerke und kontroverse Polizeigesetze

netzpolitik.org - 10 August, 2018 - 16:53
Gemeinfrei-ähnlich freigegeben durch unsplash.com Ricky Kharawala

Apple machte den ersten Schritt, dann zogen innerhalb von 24 Stunden auch Facebook, Youtube und Spotify nach und löschten Beiträge oder ganze Kanäle des Hasspredigers Alex Jones von ihren Plattformen. Warum dies gerade jetzt geschah und nach welchen Regeln, ist noch unklar. Besonders die Entscheidung von Facebook kam überraschend, denn das Unternehmen hatte sich noch vor einigen Wochen dafür gerechtfertigt, nicht in Alex Jones‘ Hasstiraden einzugreifen.

Die Entscheidungen von Apple, Facebook & Co. gegenüber Jones dürften die EU-Kommission erfreuen. Diese drängt die Unternehmen schon seit Längerem, freiwillig gegen allerlei rechtswidrige Inhalte vorzugehen. Weil es bisher jedoch zu wenige Fortschritte gab, wurde nun für den September ein neues Gesetz zur Filterpflicht von Online-Plattformen angekündigt.

Eine Sonderrolle nehmen bisher Twitter und seine Videoplattform Periscope ein, die Jones weiterhin nutzen kann. Die Begründung: Er habe noch nicht gegen ihre Regeln verstoßen. Jillian C. York fordert daher in einem Gastbeitrag bei uns eine dringende Überarbeitung von Twitters eigenen Regeln.

Polizeigesetze und Staatstrojaner

Der Wissenschaftliche Dienst des Bundestags geht der Frage nach, ob das umstrittene bayerische Polizeigesetz eine Vorlage für das bundesweite Musterpolizeigesetz sein könnte. Mit der neuen Kategorie der „drohenden Gefahr“ befasst sich auch eine Stellungnahme der Neuen Richtervereinigung – am Beispiel der Polizeigesetzesnovelle in Brandenburg.

In einer dreitägigen Sitzung hört der niedersächsische Landtag seit Donnerstag dreißig Sachverständige zum geplanten neuen Polizeigesetz an. Für netzpolitik.org hat unsere Mitarbeiterin Marie Bröckling eine Stellungnahme verfasst. Mit dem angedachten Gesetz möchte die rot-schwarze Landesregierung der Polizei mehr Befugnisse erteilen. Darunter fallen mehr Videoüberwachung, elektronische Fußfesseln, Staatstrojaner und Präventivhaft, bei der Menschen ohne Anklage inhaftiert werden dürfen.

Polizeiliche Befugnisse wurden vor knapp einem Jahr auch bundesweit über das Staatstrojaner-Gesetz ausgeweitet. Dagegen legen der Verein Digitalcourage, die Gesellschaft für Freiheitsrechte (GFF) und aktuelle sowie ehemalige FDP-Politiker*innen jetzt Verfassungsbeschwerden ein. Die neue Regelung in der Strafprozessordnung ermöglicht den Einsatz von Spionagesoftware zur Infiltrierung von Computern oder Smartphones in der polizeilichen Strafverfolgung. Dies war zuvor nur dem BKA zur Terrorabwehr erlaubt.

Während die Befugnisse der Polizei ausgeweitet werden sollen, hat der BND in den Jahren 2016 und 2017 knapp 300 Verstöße gegen Geheimschutzvorschriften innerhalb der eigenen Behörde verzeichnet. Der BND begründet die Problematik mit „Fehlverhalten von Mitarbeitern“. Ein zusätzlicher potenzieller Grund sei die „gestiegene Kontrollintensität hinsichtlich der IT-Nutzung“.

Überwachungslabor Berlin-Südkreuz

Das Pilotprojekt zur biometrischen Gesichtserkennung mit hochauflösenden Kameras am Berliner Bahnhof Südkreuz ist beendet. Der Bundesinnenminister äußert sich bisher nicht zum Vorzeigeprojekt am Südkreuz, und die genauen Ergebnisse des Tests stehen noch aus. Der Deutsche Anwaltverein kritisierte mehrfach die Missachtung verfassungsrechtlicher Grundsätze und macht im Interview mit uns auf weitere rechtliche und praktische Probleme bei der „intelligenten“ Videoüberwachung aufmerksam.

Ähnliche Verfahren möchte künftig auch die Hamburger Polizei nutzen: Geplant ist, permanent eine Software zur Gesichtserkennung zu nutzen, welche zur Strafverfolgung nach dem G20-Gipfel eingeführt wurde. So sollen Personen im Nachgang einer Straftat identifiziert werden können. Jetzt soll der Einsatz der Software ausgeweitet werden, dabei hält der Hamburgische Datenschutzbeauftragte die Technologie für verfassungsrechtlich bedenklich.

Gerichtsentscheidungen zur Informationsfreiheit

Wenn deutsche Gerichte entscheiden, ob Ministerien bisher geheime Dokumente nach dem Informationsfreiheitsgesetz herauszugeben haben, vertrauen sie den Einschätzungen der Beamt*innen, anstatt die Dokumente selbst zu prüfen. Dieses Verfahren gewährt Behörden ein Schlupfloch, zeigt ein Fall des Verwaltungsgerichts Berlin. Die Stellungnahme, deren Herausgabe das Bundesinnenministerium und das Verwaltungsgericht verneinten, war durch eine Anfrage bei der EU an die Öffentlichkeit gelangt.

Auch für ein Schülerreferat darf man nicht einfach Fotos aus dem Internet verwenden, wenn man es online stellt. Das geht aus einem Urteil des Europäischen Gerichtshofs hervor. Eine Schülerin aus Nordrhein-Westfalen hatte ein Bild der Stadt Cordoba für ein Referat genutzt und später mitsamt Foto auf der Internetseite der Schule hochgeladen. Das veranlasste den Fotografen Dirk Renckhoff zur Klage gegen die Stadt und das Land NRW.

Prominenter Blogger festgenommen

Die Regierung in Bangladesch nutzt ein repressives Kommunikationsgesetz gegen Oppositionelle, Aktivisten*innen und Demonstrierende. Letztes Opfer wurde der prominente Fotograf und Blogger Shahidul Alam, welcher mehrfach zu Gast bei der Konferenz re:publica in Berlin war. Shahidul Alam wurde wenige Stunden nach einem Interview mit dem Fernsehsender Al-Jazeera festgenommen. Ihm werden „provokante Kommentare“ vorgeworfen.

Unsere Konferenz und weitere Empfehlungen

In eineinhalb Monaten ist es schon so weit: Unsere „Das ist Netzpolitik!“-Konferenz findet zum fünften Mal statt. Es erwarten euch wie immer spannende Vorträge und Diskussionen zu aktuellen netzpolitischen Themen. Das Programm ist so gut wie fertig und wird bald veröffentlicht. Speichert euch jetzt Ort und Datum in eurem Kalender ein: 21. September 2018, Volksbühne Berlin.

Netzpolitik.org ist außerdem Medienpartner bei der Konferenz „Bits & Bäume“ am 17. und 18. November in Berlin. Die Anmeldephase für inhaltliche Beiträge oder Ausstellungsplätze auf dem Konferenzareal endet am 19. August.

Außerdem: In der Arte-Mediathek findet sich noch bis Ende August die spannende Dokumentation „Digital Africa – Ein Kontinent erfindet sich neu“ über die Maker-, Hacker- und Startup-Szene in Kenia, Ruanda und Ghana.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Prototype Fund: Projekte zu Künstlicher Intelligenz und Zukunftstechnologien gesucht

netzpolitik.org - 9 August, 2018 - 18:44

Bis zum 30. September läuft die fünfte Bewerbungsrunde des Prototype Fund. Gesucht werden Open-Source-Projekte, die sich mit Zukunftstechnologien wie Maschinellen Lernverfahren, Bioinformatik oder Künstlicher Intelligenz auseinandersetzen. Zu vergeben gibt es 47.500 Euro für einzelne Entwickler oder interdisziplinäre Teams.

Mit der fünften Themenrunde ruft der Fund besonders Projekte zur Bewerbung auf, die sich im Rahmen ihrer Entwicklungsarbeit mit den folgenden Fragen auseinandersetzen:
    

  • Welche gesellschaftlichen Themen können mit Hilfe von Maschinellem Lernen besser erschlossen und bearbeitet werden, und wie?
  • Wie können neue Technologien uns dabei helfen, existierende Ungerechtigkeit zu adressieren (und zu reduzieren), statt diese zu verstärken?
  • Neue Technologien erklären und verstehen: Wie funktionieren Maschinelles Lernen oder Künstliche Intelligenz? Was sind Gefahren, Mythen und Chancen?

Es geht uns explizit nicht darum, neue Technologien auf beliebige Probleme zu anzuwenden, sondern Entwicklungen und Anwendungsfelder genau zu untersuchen.

Der Prototype Fund ist ein gemeinsames Förderprogramm für soziale Innovationen der Open Knowledge Foundation und des Bundesministeriums fürs Bildung und Forschung. Mehr Infos gibt es auf der Webseite des Projekts.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

EU-Kommission: Gesetz zur Filterpflicht für Online-Plattformen kommt im September

netzpolitik.org - 9 August, 2018 - 13:50
Die EU-Kommission verlangt von Online-Plattformen, mit Künstlicher Intelligenz und Upload-Filtern terroristische Inhalte zu erkennen und zu löschen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Jesus Kiteque

Um gegen Terrorpropaganda auf Online-Plattformen vorzugehen, wird die EU-Kommission Mitte September einen konkreten Gesetzesentwurf vorlegen. Das sagte der EU-Sicherheitskommissar Julian King heute der Welt. Orientieren dürfte sich das Gesetz an den Eckpunkten vom vergangenen März, mit denen die Brüsseler Behörde die Plattformen zu freiwilligen Maßnahmen gedrängt hatte.

Damit wollte die Kommission die Betreiber verpflichten, terroristische Inhalte innerhalb einer Stunde von ihren Plattformen zu entfernen und das erneute Hochladen einmal erkannter Inhalte mittels Upload-Filtern zu verhindern. Obwohl dies laut King zu positiven Ergebnissen geführt hätte, seien jedoch nicht genügend Fortschritte gemacht worden.

Gesetz soll für alle Plattformen gelten

„Um unsere Bürger besser zu schützen, müssen wir jetzt härtere Maßnahmen bei terroristischen Inhalten ergreifen“, sagte King der Welt. „Um die freiwilligen Vereinbarungen zu ergänzen, arbeitet die EU-Kommission derzeit an einem Gesetzesvorschlag, den wir in Kürze veröffentlichen werden.“ Dieser soll in vollem Einklang mit den Grundrechten und der Meinungsfreiheit im Netz stehen, sagte King. Am Ende soll es einen „klaren, transparenten Rahmen und Minimumanforderungen für jede Internetplattform“ geben, die in der EU tätig ist. Ob damit eine Überarbeitung der E-Commerce-Richtlinie einhergehen wird, bleibt unklar. Diese macht Plattformen erst dann für illegale Inhalte haftbar, wenn sie solche nach einer Meldung nicht löschen. Mögliche Verpflichtungen zu proaktivem Handeln und kurze Löschfristen drohen jedoch, dieses Prinzip umzukehren.

Somit setzt die Kommission um, wovor sie die Plattformbetreiber schon seit geraumer Zeit gewarnt hatte. Nach einer „Mitteilung“ vom September des Vorjahres folgte im März eine „Empfehlung“, mit denen Brüssel zunehmend die Daumenschrauben angezogen hatte. Druck gab es auch seitens der Mitgliedstaaten. Zuletzt drängten im Juni die Innenminister Deutschlands und Frankreichs auf eine EU-weite gesetzliche Regelung, verknüpft mit Strafen für die Betreiber, sollten sie den geforderten Löschpflichten nicht nachkommen.

Ausweitung auf andere Inhalte wahrscheinlich

Umfassen soll die Regelung auch kleinere Plattformen, die derzeit keine Ressourcen haben, um den Vorgaben aus Brüssel zu genügen. Schließlich handelt es bei den Systemen um eine aufwendige Kombination aus Künstlicher Intelligenz, Bilderkennungssoftware und Upload-Filtern, die auf eine gemeinsam betriebene Datenbank mit digitalen Fingerabdrücken zurückgreifen. Das können sich nur große Anbieter leisten. „Dies alles führt dazu, dass solche Inhalte im Netz zunehmen, nach ihrer Löschung wieder auftauchen und sich von Plattform zu Plattform weiterverbreiten wie ein Virus“, sagte King der Welt. Zu erwarten ist deshalb, dass sich alle Betreiber entweder an die von den großen Anbietern entwickelten Systeme anschließen oder die Technik von ihnen lizenzieren müssen. In der Vergangenheit hat sich jedoch gezeigt, dass solche Systeme notorisch unzuverlässig sind und regelmäßig legitime Inhalte entfernen.

Unklar bleibt zudem, gegen welche Inhalte sich das kommende Gesetz genau richten soll. Zwar spricht King in erster Linie von Terrorinhalten, machte aber geltend, dass es in den EU-Ländern zahlreiche unterschiedliche Regelungen zur Löschung von Inhalten gebe. Dies würde Rechtsunsicherheit bei den betroffenen Tech-Unternehmen schaffen. Die bisherige Brüsseler Empfehlung richtet sich ausdrücklich gegen „terroristische Inhalte, Aufstachelung zu Hass und Gewalt, Darstellungen des sexuellen Missbrauchs von Kindern, Produktfälschungen und Urheberrechtsverletzungen“ – also eine ganze Palette an Inhalten, gegen die die EU-Kommission vorgehen will. Auch im Brief Seehofers ist von einer eventuellen Ausdehnung auf „sonstige rechtswidrige Inhalte“ die Rede.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Informationsfreiheit: Wo die EU Dokumente herausgibt, pocht Deutschland auf Geheimnisschutz

netzpolitik.org - 9 August, 2018 - 11:17
Das EU-US Privacy Shield (Symbolbild) CC-BY-NC-ND 2.0 Roger Smith

Das Szenario, das das Bundesinnenministerium (BMI) als Antwort auf eine Anfrage nach internen Dokumenten beschwor, klang bedrohlich: Wenn es nach dem Informationsfreiheitgesetz seine Stellungnahme zum EU-US-Privacy Shield herausgeben müsste, könnten deutsche Interessen „empfindlich“ geschädigt werden. Der Text der Stellungnahme sei mit französischen Kollegen an eine EU-Arbeitsgruppe gesendet worden. Eine „vertrauensvolle Arbeit“ mit Frankreich und anderen EU-Mitgliedsstaaten sei bei einer Herausgabe gefährdet, das „Verhandlungsklima“ auf EU-Ebene gestört.

Die Geschichte des BMI machte Eindruck. Nicht nur entschied das Ministerium, dass die Stellungnahme geheim bleiben muss. Auch das Verwaltungsgericht Berlin folgte im März 2018 der Entscheidung und urteilte, dass Antragssteller das Dokument nicht einsehen dürfen.

Dabei berief sich das Gericht auf die Begründung des Ministeriums. Es habe plausibel dargelegt, warum die Stellungnahme geheim bleiben müsse. Das Dokument selbst, um das es in der Klage ging, bekam das Gericht allerdings nicht zu sehen – wie üblich bei solchen Verfahren.

BMI gibt Dokument nicht heraus, EU schon

Hätte das Gericht das Dokument gesehen, hätte es vermutlich anders entschieden. Denn die Stellungnahme des BMI ist wahrlich unspektakulär. Auf einer halben DINA4-Seite beschreiben die Regierungen Deutschlands und Frankreich lediglich, dass ihnen Datenschutz besonders wichtig ist und sie die Implementierung des EU-US-Privacy Shields genau verfolgen werden.

Das geht aus unserer Anfrage an die EU hervor. Die verfügte als Adressat nämlich auch über die Stellungnahme – und gab uns das Dokument ohne Murren heraus. Nachteil für die internationalen Beziehungen? Kein Thema für die EU. Normale Dokumente wie Stellungnahmen werden auf EU-Ebene grundsätzlich herausgegeben. Die Begründung des BMI für die Ablehnung war offensichtlich vorgeschoben.

Gerichte prüfen nicht Dokumente, sondern Begründungen

Bei der Beurteilung einer möglichen Herausgabe geheimer Dokumente haben deutsche Verwaltungsgerichte grundsätzlich ein Problem: Oft sehen sie die Dokumente selbst nicht an. Würden sie dies tun, würden sie automatisch Teil der Gerichtsakten und damit auch den Klägern zugänglich. „In-camera-Verfahren“ bei Klagen nach dem Informationsfreiheitsgesetz, bei denen Gerichten Dokumente im Verborgenen einsehen, sind zwar theoretisch möglich, aber nicht üblich.

Also prüfen die Gerichte vor allem, ob eine Ausnahme plausibel erscheint. Das ist gerade im Zusammenhang mit internationalen Beziehungen günstig für Behörden. Denn wenn die Herausgabe eines Dokuments nach Ansicht von Behörden die internationalen Beziehungen gefährdet, können Gerichte dies nur eingeschränkt in Frage stellen.

Wie der Fall der BMI-Stellungnahme zeigt, lädt die Regelung allerdings zu Missbrauch ein: Wenn Ministerien auch für unbedenkliche Dokumente schwere Geheimnis-Geschütze auffahren, kann die Verwaltungsgerichtsbarkeit den Ministerien offensichtlich nicht vertrauen. Die Gerichte sollten daher vor allem bei bestimmten Behörden grundsätzlich nicht nur prüfen, ob Ablehnungen plausibel erscheinen. Auch die Dokumente selbst sollten sie in Augenschein nehmen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs
Inhalt abgleichen