Blogs

„Die Basis“: Corona-Protest-Partei stellte Mitgliederdaten ungeschützt ins Netz

netzpolitik.org - 19 April, 2021 - 21:41

Die Corona-Protest-Partei „Die Basis“ hat Daten ihrer Mitglieder ungeschützt ins Netz gestellt. Das Hackerkollektiv Anonymous hat eine Liste mit rund 15.000 Namen und hunderten Dokumenten gefunden, darunter Scans handschriftlich ausgefüllter Beitrittsformulare, zum Teil sogar mit Nummern von Personalausweisen und Bankdaten. Die Partei spricht in einer Stellungnahme von einem Hackerangriff auf die Demokratie. Doch der Weg, auf dem Anonymous die Daten fand, ist geradezu banal. Wohl praktisch jede:r hätte auf sie stoßen können.

Zu dem, was am Sonntag tausendfach abgeflossen ist, gehören Namen, E-Mail-Adressen, Wohnanschriften und Telefonnummern von aktuellen und ehemaligen Mitgliedern sowie Förderer:innen der Partei, die „Querdenken“ nahesteht und die staatlichen Schutzmaßnahmen vor dem Coronavirus konsequent ablehnt.

Veröffentlicht hat Anonymous aus diesem Datensatz kaum etwas, auf einem Blog lediglich einige Angaben zu prominenten Personen aus dem Umfeld der „Querdenken“-Bewegung gemacht.

Der Datensatz

Wie gravierend die Panne dennoch ist, zeigt eine Auswertung von netzpolitik.org. In Excel-Dateien, die wir einsehen konnten, hat „Die Basis“ umfangreiche Datensätze zu rund 15.000 Personen gesammelt. Nicht nur der überwiegende Teil der aktuellen Mitglieder ist gelistet, auch mehrere hundert Menschen sind betroffen, welche die Partei wieder verlassen haben – zum Teil bereits vor etwa fünf Monaten. Anstatt deren Daten zu löschen, speicherte „Die Basis“ sie weiterhin auf dem Webserver.

Neben Kontaktmöglichkeiten erfasste „Die Basis“ Angaben wie das Geburtsdatum. Sie hielt penibel fest, wer außerdem noch Mitglied einer weiteren Partei ist. Angaben zu den Mitgliedsbeiträgen, die sich demnach unterscheiden, finden sich ebenfalls in den Excel-Dateien. Darüber hinaus sind noch mehr als 500 Schriftsätze geleakt, vereinzelt enthalten sich auch Bankdaten von Parteimitgliedern.

Unter den Dateien, die ungeschützt auf dem Webserver lagen, sind sogar von Mitgliedern unterschriebene Vertraulichkeitserklärungen. „Da du im Rahmen [der] Parteiarbeit bei ‚Die Basis’ möglicherweise mit personenbezogenen Daten in Kontakt kommst, verpflichten wir dich hiermit zur Beachtung des Datenschutzes“, heißt es darin etwa.

Dabei offenbart der Fall nun erhebliche Versäumnisse beim Betrieb der Mitgliederplattform. „Offenbar fehlt es der ‚Basis‘ an einigen Basiskompetenzen – auch im Bereich der IT“, sagt Linus Neumann, Sprecher des Chaos Computer Clubs.

Die Methode

Anonymous hat inzwischen offengelegt, wie die Aktivist:innen vorgegangen sind – die Partei selbst hat die Darstellung gegenüber netzpolitik.org grundsätzlich bestätigt. IT-Kenntnisse waren demnach nicht nötig, höchstens ein Mindestmaß an Fantasie. Das hängt damit zusammen, dass der Webserver dilettantisch eingerichtet worden war.

Für die Verwaltung ihrer Mitglieder betreibt „Die Basis“ ein eigenes Portal, zu finden unter „mitglieder.diebasis-partei.de“. Um Zugang zu erhalten, muss man eigentlich einen Benutzernamen und ein Passwort kennen. Diese Schutzmauer überwanden die Anonymous-Aktivist:innen aber gar nicht. Sie konnten einfach an ihr vorbeimarschieren.

Websites mögen unterschiedlich aussehen, aber ihr Fundament ist häufig ähnlich und damit auch die Dateistruktur. Bilddateien zum Beispiel werden gemeinhin im Verzeichnis „images“ oder „uploads“ gespeichert. Die Anonymous-Aktivist:innen haben auf dem „Die Basis“-Server noch ein anderes Verzeichnis gefunden. Es ist das Verzeichnis, in dem die sensiblen Dateien lagerten: „download“.

Wer „mitglieder.diebasis-partei.de/download“ heute in der Adresszeile des Webbrowsers eingibt, erhält eine Fehlermeldung – die Sicherheitslücke wurde geschlossen: „Die angeforderte URL wurde auf diesem Server nicht gefunden.“ Am Sonntagnachmittag war an derselben Stelle noch ein gesamtes Verzeichnis einsehbar gewesen.

Das Verzeichnis „mitglieder.diebasis-partei.de/download“ am Sonntag - Alle Rechte vorbehalten Screenshot AnonLeaks

Die Anonymous-Aktivist:innen haben nach eigenen Angaben zwar ein Programm genutzt, um über einen Zeitraum von fünf Tagen sämtliche Dateien unauffällig herunterzuladen – man hätte diese theoretisch aber genauso gut mit der Maus anklicken können, eine nach der anderen. Oder auch nur die Datei „auswertung.xlsx“ mit den rund 15.000 Datensätzen.

Der Anfängerfehler

Das Problem war nicht, dass es dieses „download“-Verzeichnis gab, sondern dass sein Inhalt für Besucher:innen ohne Weiteres einsehbar war – ein Fehler, wie ihn normalerweise höchstens Anfänger:innen machen. Zudem waren die Daten unverschlüsselt.

„Die Basis“ bekam von alldem nach eigenen Angaben erst etwas mit, als es schon zu spät war und Anonymous am Sonntag auf die Veröffentlichung hinwies. Am Abend habe die Partei ihre Mitglieder informiert, sagt ihr Medienbeauftragter David Claudio Siber gegenüber netzpolitik.org. Eine Selbstanzeige bei der Datenschutzbehörde sei geplant.

Auch die „Die Basis“ weiß inzwischen, wie vermeidbar das Datenleck gewesen wäre – Siber sagt, man hätte es innerhalb von Minuten finden und schließen können. „Der Fehler liegt bei uns.“ Man könne aber ausschließen, dass noch jemand anders diese Sicherheitslücke ausgenutzt habe.

„Wir sind Anonymous Deutschland* dankbar, dass sie uns den Denkzettel verpasst haben, aber die Mitgliederdaten nicht veröffentlicht wurden“, so Siber. Dennoch halte man den Vorfall für einen Angriff, der strafrechtliche Folgen haben werde. Dabei geht es auch um die Privatadresse eines szenebekannten „Querdenken“-Anwalts, die Anonymous in diesem Zusammenhang öffentlich gemacht hat.

Die Partei gibt an, sie habe noch in der Nacht Anzeige wegen Datendiebstahls bei der Polizei an ihrem Hauptsitz Berlin gestellt, der Staatsschutz habe Ermittlungen bestätigt. Die Pressestelle der Polizei teilte netzpolitik.org am Nachmittag mit, sie wisse von dem Fall bislang nichts, eine von der Partei genannte Vorgangsnummer wollte das Lagezentrum am Abend nicht bestätigen.

Die Vorgeschichte

Es ist nicht der erste Konflikt der Protest-Szene mit Anonymous. Seit bald einem Jahr bekämpft das Kollektiv Verschwörungsideolog:innen und Gruppen, welche die Pandemie verharmlosen. Zu den Zielen der „OpTinfoil“ (Operation Alu) zählten der Rechtsextremist Attila Hildmann und der Sektenführer Ivo Sasek, aber auch die Corona-Protest-Partei „Widerstand 2020“, die im Frühjahr des vergangenen Jahres entstanden war.

54 Tage nach der Gründung wurde „Widerstand 2020“ schon wieder aufgelöst, kurze Zeit später entstanden zwei faktische Nachfolgeparteien: „Wir 2020“ und „Die Basis“. Dass im nun abgeflossenen Datensatz sogar Nummern von Personalausweisen enthalten sind, hänge auch damit zusammen, dass „Die Basis“ ihre Mitglieder genau überprüfe. „Im Gegensatz zu ‚Widerstand 2020‘ stellen wir sicher, dass die Person real existiert“, sagt Siber.

Er spielt auf einen früheren Zusammenstoß mit Anonymous an, der maßgeblich zum Ende von „Widerstand 2020“ beitrug. Man könnte sagen, die Aktivist:innen hatten damals genau das Gegenteil dessen getan, was nun der „Basis“ passiert ist: Mithilfe eines Computerprogramms erstellten sie so viele Neuanmeldungen, bis „Widerstand 2020“ zigtausende erfundene Mitglieder hatte. Damals waren die Daten gefälscht. Diesmal sind sie echt.

* Der Medienbeauftragte der „Basis“ David Claudio Siber hat uns am Dienstagmorgen gebeten, zu ergänzen, dass er „Anonymous Deutschland“ dankbar sei – am Telefon hatte er zuvor bloß von „Anonymous“ gesprochen. Er sei nun jedoch darauf hingewiesen worden, dass „Anonymous Deutschland“ und „Anonymous“ nicht dasselbe seien. Wir haben das im Text auf seinen Wunsch hin geändert.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Datenschutzbehörde NRW: Einsatz der Palantir-Software bei der Polizei als rechtswidrig gebrandmarkt

netzpolitik.org - 19 April, 2021 - 18:34

Seit Oktober 2020 verwendet die Polizei Nordrhein-Westfalens eine Software des umstrittenen Konzerns Palantir im Testbetrieb. Nun hat die Landesdatenschutzbeauftragte gegenüber dem SPIEGEL Bedenken geäußert, dass die Software zum Data-Mining genutzt werde – und daher unzulässig sei. NRW-Innenminister Herbert Reul (CDU) widerspricht: Die Software betreibe gar kein Data-Mining.

Die sogenannte „Datenbankübergreifende Analyse und Recherche“ (DAR) der Polizei NRW beruht auf der Software Gotham des US-Unternehmens Palantir. Nach Angaben des nordrhein-westfälischen Innenministeriums soll das DAR-System die Arbeit von Beamt:innen bei der Bekämpfung von Terrorismus, bei der Verbreitung von Kindesmissbrauchsaufnahmen oder anderen Straftaten schneller machen. Die Beamt:innen müssen Daten aus unterschiedlichen Quellen nicht mehr manuell abgleichen – das soll nun die Software übernehmen.

Bei den verarbeiteten Informationen handelt es sich allerdings nicht nur um Daten, die der Polizei schon vorliegen: Auch externe Datenbanken aus dem Einwohnermeldeamt, Nationalen Waffenregister, VISA-Informationssystem oder dem Ausländerzentralregister lassen sich mit einbeziehen. Das bestätigte Innenminister Reul auf eine kleine parlamentarische Anfrage der Grünen im November 2020.

Streit um die Definition von Data-Mining

Genau hier sieht die NRW-Datenschutzbehörde unter der Leitung von Helga Block aber das Problem. „Die DAR-Software ermöglicht die umfassende Zusammenführung und Analyse von Daten unterschiedlicher Quellen zwecks Generierung neuer Erkenntnisse“, zitiert der SPIEGEL die Datenschutzbehörde. Damit handle es sich nach der Rechtsprechung des Bundesverfassungsgerichts um Data-Mining. Laut einem Urteil von November 2020 verstößt dies gegen das Grundrecht auf informationelle Selbstbestimmung und ist damit teilweise unzulässig.

Das Innenministerium Nordrhein-Westfalens wies die Kritik in einer Antwort an den SPIEGEL zurück: Es handle sich bei der Nutzung von DAR nicht um Data Mining, da keine automatisierte Erhebung von Daten durch die Software vorgesehen sei. Datenbanken außerhalb der Polizei würden nur mit „manuell initiierten Einzelabfragen“ genutzt. Die Datenschutzbeauftragte des Landes habe möglicherweise ein falsches Verständnis des Systems.

„Einsatz mit Echtdaten rechtswidrig“

Abgesehen vom Definitionsstreit über das Data-Mining kritisierte die NRW-Datenschutzbeauftragte aber auch, dass es keine spezifische Rechtsgrundlage für die Verwendung der DAR-Software von Palantir gebe. Sie stütze sich auf zu allgemeine Klauseln. „Soweit dennoch ein Einsatz mit Echtdaten erfolgt, ist dieser rechtswidrig“, zitiert der SPIEGEL die NRW-Behörde weiter.

Das US-Unternehmen Palantir ist seit Längerem umstritten. Auch die Polizei Hessen und Europol standen in der Vergangenheit wegen ihrer Nutzung der Software von Palantir in der Kritik.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Kosten für Informationsfreiheit: Europäisches Gericht zeigt Frontex Grenzen auf

netzpolitik.org - 19 April, 2021 - 13:44

Weniger Kosten für Transparenzklagen auf europäischer Ebene: Das Gericht der Europäischen Union hat entschieden, dass die EU-Grenzpolizei Frontex gegenüber Aktivist:innen von FragDenStaat deutlich weniger Gebühren abrechnen darf als sie gefordert hatte. Die skandalumwitterte Behörde war im Dezember 2020 vor Gericht gezogen, nachdem sich FragDenStaat geweigert hatte, ihr Auslagen in Höhe von 23.700 Euro zu zahlen.

FragDenStaat hatte zuvor eine Klage auf Offenlegung von Informationen über Frontex-Einsätze im Mittelmeer verloren. Anders als eigentlich auf EU-Ebene üblich forderte Frontex daraufhin die Kosten seiner Privatanwälte sowie Reisekosten und Spesen seiner Beamten von FragDenStaat zurück.

Das Europäische Gericht schiebt diesem Vorgehen nun teilweise einen Riegel vor. Statt der geforderten 23.700 Euro muss FragDenStaat Anwaltskosten in Höhe von 10.520 Euro zahlen. In seiner Entscheidung schreibt das Gericht, Frontex habe unverhältnismäßige und ungerechtfertigte Kosten als Teil ihrer Prozesskosten geltend gemacht. Die Reisekosten von Frontex seien eingefordert worden, „ohne dass auch nur die geringste Erklärung für den Zweck oder die Notwendigkeit der Reise gegeben wurde“. Auch die Anwaltskosten seien deutlich zu hoch angesetzt worden.

Einschüchterung von Klägern

Trotz des Urteils bleibt bei künftigen Transparenzklagen gegen EU-Behörden ein großes finanzielles Risiko für Kläger:innen. Anders als etwa in Deutschland gibt es vor EU-Gerichten kein Gesetz, das mögliche Kosten begrenzen würde. FragDenStaat sieht im Verhalten von Frontex eine Einschüchterungstaktik, die Bürger:innen davon abhalten soll, gegen die Behörde zu klagen.

In den vergangenen Monaten steht Frontex in der öffentlichen Kritik, weil ihr unter anderem Menschenrechtsverletzungen an EU-Außengrenzen, intransparente Treffen mit Rüstungslobbyisten, Lügen gegenüber dem EU-Parlament sowie Belästigungen von Mitarbeitern vorgeworfen wird.

Ein Finanzproblem dürfte die Grenzpolizei allerdings auch trotz der teilweise verlorenen Klage nicht haben: Sie verfügt seit wenigen Jahren über ein Milliardenbudget. Allein für die Ausrichtung eines Abendessens für Lobbyisten gab Frontex im Jahr 2015 insgesamt 94.000 Euro aus.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Aufklärung und Angriff: Bundeswehr forscht an Drohnenschwärmen

netzpolitik.org - 19 April, 2021 - 13:11

In verschiedenen Vorhaben forschen das Heer und die Luftwaffe an der Vernetzung bemannter und unbemannter Luftfahrzeuge. Die Fähigkeit wird als „Manned-Unmanned-Teaming“ (MUM-T) bezeichnet und meint Drohnen, die etwa im Vorausflug Kampfjets oder Hubschrauber bei der Aufklärung oder dem Angriff auf Bodenziele unterstützen. Die Anzahl der begleitenden Drohnen ist theoretisch unbegrenzt und wird vor allem durch die Rechenleistung des militärischen Kontrollsystems am Boden bestimmt.

Ab 2022 will die Europäische Verteidigungsagentur entsprechende Forschungen finanzieren. Das schreibt das Verteidigungsministerium in der Antwort auf eine Kleine Anfrage. Das geplante Vorhaben firmiert als „Autonomous, Reconfigurable Swarms of Unmanned Vehicles for Defense Applications“ (ACHILLES), die unbemannten Luftfahrzeuge sollen dabei Überwachungsaufgaben erledigen. Zu den Zielen gehört auch die mögliche Einbindung der vernetzten Drohnen in den von zivilen Fluglotsen kontrollierten Luftraum.

Drohnen vom Raketenhersteller

Auch die deutsche Luftwaffe will laut der Antwort weitere Erprobungen mit Drohnenschwärmen durchführen. Als Führungsflugzeug fungiert dabei ein Learjet, der von Zieldarstellungsdrohnen begleitet wird. Ähnliche Tests hatte die Rüstungssparte von Airbus bereits auf einem Truppenübungsplatz durchgeführt. Sie stehen im Zusammenhang mit dem europäischen „zukünftigen Luftkampfsystem“ (Future Combat Air System – FCAS), das Airbus ab 2040 mit dem französischen Rüstungskonzern Dassault Aviation produzieren will. Noch im Sommer soll der Bundestag über die nächste Stufe zur Entwicklung entscheiden.

„Remote Carrier“ von MBDA im Modell. - Alle Rechte vorbehalten MBDA

Im Rahmen des FCAS werden die Drohnenschwärme als „Remote Carrier“ bezeichnet, die über eine „Gefechts-Cloud“ mit dem Kampfflugzeug und Anlagen am Boden vernetzt sind. Zuständig dafür ist den Plänen zufolge Airbus, der hierzu einen Unterauftrag an den europäischen Raketenhersteller MBDA erteilen will.

Wie die im FCAS eingesetzten „Remote Carrier“ aussehen könnten, hat MBDA mit dem RC100 und RC200 vor zwei Jahren auf der Luftfahrtausstellung in Le Bourget gezeigt. Sie wiegen um die 100 beziehungsweise 200 Kilogramm und verfügen über Tarneigenschaften. Gesteuert würden sie mithilfe von Künstlicher Schwarmintelligenz. Als eine der größten Herausforderungen nennt der Raketenhersteller die Fähigkeit, „durchweg schneller als der Gegner zu reagieren“.

Abwurf von Transportflugzeugen

Als Nutzlast könnten die MBDA-Drohnen Sensorik zur Aufklärung befördern, außerdem könnten sie mit Anlagen zur elektromagnetischen Störung und Täuschung gegnerischer Systeme ausgerüstet werden. Auch die Bewaffnung ist möglich, ein hochrangiger Angestellter bezeichnet dies als „integrierte kinetische Wirkung“. Nur dadurch würden die agilen Drohnen von Gegner:innen auch „als Bedrohung wahrgenommen“. Neben Drohnen könnten auch Lenkflugkörper in den tödlichen Schwarm integriert werden und zusammen „in geschützte Gebiete eindringen“.

Simulierter Abwurf von Drohnenschwärmen in Airbus-Forschungsprojekt. - Alle Rechte vorbehalten Airbus (Screenshot YouTube)

Der Start der „Remote Carrier“ kann von Kampfflugzeugen, Transportflugzeugen oder auch Schiffen erfolgen. Zum Ende eines entsprechenden Forschungsprojekts hat Airbus erst kürzlich mit dem Deutschen Zentrum für Luft- und Raumfahrt den Abwurf eines Drohnenschwarms von einem A400-Transportflugzeug simuliert. Zu dem Vorhaben gehörte der Entwurf einer entsprechenden Halterung, mit der die Drohnen ähnlich wie Fallschirmlasten abgeworfen werden.

Die Koordination eines Drohnenschwarms stellt hohe Anforderungen an die Pilot:innen von Kampfjets. Deshalb führt die Luftwaffe schon jetzt mit allen Eurofighter- und Tornado-Besatzungen „Human-in-the-Loop“-Untersuchungen für zukünftige Einsatzkonzepte durch. In dieser Studie mit dem Titel OpFoKus („Operative Forderung Kooperation unbemannte Systeme“) sollen Drohnen den Luftkampf unter gegnerischen Kampfjets unterstützen. „Künftig zu erwartende Luftkriegsszenarien“ werden dabei in Simulatoren erprobt.

Mensch gibt „Kontrolle an die Maschine ab“

Auch das deutsche Heer arbeitet seit einigen Jahren an Drohnenschwärmen. Sie sollen einen Helikopter begleiten, Anfang der Zehnerjahre startete die Universität der Bundeswehr in München hierzu das Projekt CASIMUS („Cognitive Automated Sensor Integrated Unmanned Mission System”) zur „semi-autonomen Missionsführung” von Drohnen. Inzwischen werden die Untersuchungen als CASIMUS II fortgesetzt.

Führung unbemannter Fluggeräte aus dem Hubschrauber-Cockpit. - Alle Rechte vorbehalten Universität der Bundeswehr

Die Universität der Bundeswehr entwickelt außerdem Anwendungen zur „Einsatz- und Führungsplanung aus dem Cockpit“. Über ein solches System können die Helikopterpilot:innen einer Drohne Aufträge für bestimmte Einsatzszenarien erteilen. Laut der Projektbeschreibung gibt der Mensch dabei auch „Kontrolle an die Maschine ab“. Das Assistenzsystem wird mithilfe Künstlicher Intelligenz verbessert, dazu werden die Manöver der Pilot:innen im Simulator mit Blickbewegungsmess-Systemen erfasst und ausgewertet.

In der ersten Phase wurden die Ergebnisse von CASIMUS noch simuliert, zum Vorhaben gehörten laut der Antwort des Verteidigungsministeriums auch Flugversuche mit einem Airbus-Helikopter H145 und einer LUNA NG. Dabei sollte unter anderem die „Gefechtsaufklärung“ erprobt werden.

Hoher Grad an Automatisierung

2017 hat die Firma ESG Elektroniksystem- und Logistik, die regelmäßig Studien für die Bundeswehr durchführt, Verfahren zur Steuerung einer Helikopterdrohne aus einem Hubschrauber heraus untersucht. Die Forschungen erfolgten im Rahmen des Projekts MiDEA („Missionsbegleitung durch Drohnen zur Erkundung und Aufklärung“), das vom Verteidigungsministerium gestartet wurde.

„Manned-Unmanned-Teaming“ mit Helikopterdrohne. - Alle Rechte vorbehalten ESG

Ein Jahr später hat die ESG die Ergebnisse zusammen mit der Wehrtechnischen Dienststelle der Bundeswehr öffentlich vorgeführt. Dabei erledigte der unbemannte Senkrechtstarter der Firma verschiedene Aufträge, darunter „liefere Aufklärungsdaten“, „erkunde die Waldkante“ und „kläre mögliche Landezonen auf“. Die Versuchsdrohne sei dabei mit einem „hohen Grad an Automation“ geflogen. Im gleichen Jahr hat die Helikopter-Sparte von Airbus ein „Manned-Unmanned-Teaming“ mit einem Hubschrauber H145 und einem Camcopter S-100 des österreichischen Drohnenherstellers Schiebel demonstriert. Laut einem Airbus-Manager soll das System vor allem für Szenarien genutzt werden, bei denen der Abschuss droht.

Airbus zufolge fliegen die Drohnen mit einem hohen Grad an Automatisierung. Dieser wird gemäß internationaler Standards in fünf Stufen eines sogenannten „Level of Interoperability“ (LoI) beschrieben. Die Interaktion eines bemannten und unbemannten Hubschraubers soll das höchste Level 5 erreicht haben. Dabei wird der gesamte Flug, einschließlich Start- und Landevorgang, durch eine Routine erledigt. Airbus will dies zukünftig auch im zivilen Bereich nutzen.

„Übersättigungsangriffe“ mit großer Anzahl von Drohnen

Konkrete Beschaffungen von Drohnenschwärmen sind beim Heer im Moment nicht geplant, der Bedarf ist allerdings bereits formuliert. Ein Positionspapier des Amtes für Heeresentwicklungen hat dazu vor zwei Jahren Szenarien für den zukünftigen Einsatz von vernetzten „Taktischen Unmanned Aerial Systems“ (TaUAS) beschrieben. Diese könnten „von der Aufklärung über Sperren bis hin zu offensiven Wirkmitteln“ verschiedene „Teilaufträge“ erledigen.

TaUAS-Studie zu Drohnenschwärmen beim Heer. - Alle Rechte vorbehalten Amt für Heeresentwicklung

Die Heeresdrohnen mit einer Reichweite bis zu 40 Kilometern sollen dem Papier zufolge kaum geschützt sein. Diese hohe Verwundbarkeit könnten sie durch „Übersättigungsangriffe“ einer großen Anzahl von Luftfahrzeugen kompensieren. Die Bundeswehr soll dafür einen Container entwickeln, der 100 solcher Drohnen enthält. An dieser Basisstation sollen sich die TaUAS automatisch aufladen können.

Mithilfe Künstlicher Intelligenz würden die Drohnen weitgehend autonom operieren. Das betrifft explizit auch den Kampfeinsatz. Als unbemannte Waffensysteme sollen sie über die „Fähigkeit zum Schleichen/Einsickern“ verfügen und „in mehreren Wellen zum gezielten schrittweisen Ausschalten von wichtigen Fähigkeiten“ des Gegners eingesetzt werden. Als mögliche Ziele nennt das Amt den Angriff auf „Gefechtsfahrzeuge oder empfindliche Komponenten von leichten gepanzerten Fahrzeugen“.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Kontaktverfolgung: Österreich plant keine Check-in-Funktion für Stopp-Corona-App

netzpolitik.org - 19 April, 2021 - 11:44

Die Stopp-Corona-App in Österreich erhält im Gegensatz zur deutschen Corona-Warn-App keine Zusatzfunktion zum Check-in in Cafés, Restaurants und andere Örtlichkeiten. Eine solche Registrierungsfunktion sei „derzeit nicht geplant“, sagt eine Sprecherin des österreichischen Roten Kreuzes, das die App betreibt, auf Anfrage zu netzpolitik.org.

Österreich befindet sich derzeit mitten in der dritten Welle an Covid-19-Infektionen, allerdings hat die Bundesregierung von Kanzler Sebastian Kurz angesichts sinkender Zahlen schon für Mai Lockerungen in allen Bereichen angekündigt. Wenn Bars, Restaurants und Friseure öffnen, könnten die Fallzahlen wieder rasch ansteigen.

Apps erlauben „Anmeldung“ in Lokalen

Um Infektionscluster an öffentlichen Orten leichter nachverfolgen zu können, soll die deutsche Corona-Warn-App (CWA) dieser Tage eine Check-in-Funktion erhalten. Neben der bereits bestehenden Möglichkeit zur Aufzeichnung enger Kontakte über Bluetooth kann sie über die „Anmeldung“ auch Begegnungen in geschlossenen Räumen erfassen, die über die Bluetooth-Funktion nicht registriert wurden. Einige deutsche Bundesländer setzen für das Check-in allerdings nicht auf die CWA, sondern machen die Verwendung der umstrittenen Check-in-App Luca verpflichtend.

Während das österreichische Rote Kreuz keine eigene Anmelde-Funktion in seine App einbauen möchte, empfiehlt es für Contact Tracing in der Gastronomie das System EasyTrace. Dieses erlaubt die Web-Anmeldung in Lokalen über QR-Codes. Allerdings räumen die Behörden ein, dass dabei leicht falsche Angaben gemacht werden können.

In Österreich verzeichnete die Stopp-Corona-App 1,4 Millionen Downloads, das entspricht etwa 15 Prozent der österreichischen Bevölkerung. Bislang 12.700 Nutzer:innen haben ihre Kontakte durch die App über mögliche Infektionen gewarnt, sagt die Rote-Kreuz-Sprecherin. Im Vergleich dazu verzeichnete die deutsche App 27 Millionen Downloads, rund eine Drittel der Bevölkerung. Sie spielte bislang 2,5 Millionen Warnungen aus.

Die Kontaktverfolgung bei möglichen Infektionen läuft in Österreich in der dritten Welle vielfach eher schleppend. Zuletzt konnten nur in rund der Hälfte der Infektionsfälle die Ansteckungsquelle gefunden werden. Digitale Hilfsmittel spielen eine geringere Rolle, als dies zu Beginn der Pandemie allgemein erwartet wurde. So stellte sich kürzlich heraus, dass die österreichische Bundesregierung einen Contact-Tracing-Schlüsselanhänger, den Kanzler Kurz im April 2020 angekündigt hatte, nie in Auftrag gegeben hat.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

„Ach du Scheiße“: So reagieren Europaabgeordnete darauf, dass ihre Handynummer wegen des Facebook-Lecks im Netz steht

netzpolitik.org - 19 April, 2021 - 06:00

„Ich hab jetzt auch einfach ein bisschen Schiss“ – so und anders reagieren Abgeordnete des Europaparlamentes darauf, dass ihre Handynummer offen im Netz steht. Vor fast zwei Wochen wurde ein Datensatz mit 533 Millionen Einträgen von Facebook-Profilen öffentlich.

Schon vor einer Woche haben wir bei den betroffenen Bundestagsabgeordneten angerufen. Erst jetzt beginnt der Bundestag die Abgeordneten seinerseits zu warnen. Im Europaparlament wurde bisher nur allgemein gewarnt, dass es ein Datenleck bei Facebook gegeben habe.

netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aufmerksam gemacht, eine Kopie liegt der Redaktion vor. Wir werden auch in diesem Artikel aus Sicherheits- und Datenschutzgründen nicht darauf verlinken, selbst wenn er öffentlich einsehbar ist. Aus Deutschland sind 15 Mitglieder des Europäischen Parlaments aus allen Fraktionen betroffen, aus Österreich sechs. Dies haben wir mit Hilfe des IT-Sicherheitsexperten Moritz Gruber der AWARE7 recherchiert.

Wir haben den Großteil von ihnen über ihre jetzt öffentlichen Handynummern angerufen und informiert, dass ihre Nummer offen im Netz steht. Ihre Reaktionen haben wir anonym protokolliert: „Ja, von dem Datenleck habe ich gehört, daher haben sie jetzt meine Nummer? – Na klasse.“

„Meine Handynummer hatte ich eigentlich nicht öffentlich angegeben“

Neben dem vollen Namen, Beziehungsstatus, Wohnort, eventuell dem Geburtsdatum und E-Mail-Adressen enthält der geleakte Datensatz auch die Telefonnummern der Betroffenen. Sie werden für die Zwei-Faktor-Authentifizierung verwendet, um das eigene Konto zu schützen. Facebook versicherte immer wieder, dass sie nicht – wie jetzt geschehen – öffentlich werden.

2018 und 2019 wurden bereits Handynummern und Profildaten von Facebook-Nutzenden erbeutet. Das neue Datenleck ist das größte bisher. Allein in Deutschland sind sechs Millionen Menschen betroffen. Am meisten Daten wurden von Nutzer*innen, die eine Handynummer mit ägyptischer Vorwahl angaben, abgegriffen: Dort sind es fast 45 Millionen Datensätze.

„Oh, das war mir unbekannt“

Die Reaktionen der EU-Abgeordneten reichten von „Ach, du Scheiße“ bis zum Dank für die Information. Einige wenige hatten bereits über die Website haveibeenpwned.com selbst überprüft, ob ihre Daten betroffen sind, oder waren von Kollegen informiert worden. Die, die ihre Daten selbst überprüft haben, hatten vorher vermehrt Spam-SMS mit Paket-Meldungen erhalten.

Alle anderen haben erst von uns davon erfahren, keine offizielle Behörde hat ihnen bisher Bescheid gesagt. Viele reagierten entsprechend schockiert: „Da muss ich jetzt erstmal gucken, wie ich damit umgehe“, andere wollten die Sache erst einmal „überprüfen lassen“ oder sich dazu nicht äußern. Die Reaktionen sind heftig, doch Facebook bleibt bisher dabei, die Betroffenen nicht benachrichtigen zu wollen.

Die Situation ist für einige auch beängstigend: „Das ist keine ungefährliche Sache“, sagte eine Person. „Als öffentliche Repräsentant*innen stellen sich da jetzt weitere Sicherheitsfragen“, große Konzerne hätten da auch eine zusätzliche Verantwortung, findet eine andere.

„Ein absoluter Skandal“

Die meisten Abgeordneten waren verärgert und entsetzt: „In Ordnung ist das ja wohl nicht“, war dabei noch eine eher moderate Reaktion. Andere finden es „richtig, richtig Scheiße“ und halten das Leck für „ein Unding“. Auch der richtige Umgang mit dem Leck ist für die Betroffenen bislang unklar: „Für mich ist die Situation jetzt überfordernd“, sagt eine Person, eine andere erwidert: „Ich weiß nicht, was ich tun soll“.

Als 2019 bereits Handynummern von Facebook öffentlich wurden, sagte die Hamburger Datenschutzbehörde, dass Handynummern für Betroffene einen ähnlichen Stellenwert wie Adressen hätten. Sie seien ähnlich lange gültig und könnten nicht ohne erheblichen Aufwand geändert werden. Das zeigt sich auch dieses Mal: „Ich hab die Nummer seit ich klein bin, ich will sie ungern wechseln“. Eine andere Person sagt: „Ich würde eigentlich gerne wechseln, aber das ist im Betrieb schwierig, eine Einschränkung meiner Tätigkeit.“

Klar ist für alle Europaabgeordneten, dass Facebook die Konsequenzen spüren sollte. Einige halten den Umgang von Facebook mit dem Leck für einen Skandal, alle hoffen, dass die Sache Konsequenzen für Facebook hat. „Wir müssen auf EU-Ebene die Daumenschrauben anziehen. Wir werden prüfen, was auf EU-Ebene passieren kann“, sagt eine Person. Eine andere will mit dem Datenschutzbeauftragten sprechen und „gucken, was getan werden kann“.

Eine Person zeigt sich eher resigniert, die irische Datenschutzbehörde habe zwar bereits Untersuchungen angekündigt, aber „Sie kennen ja die Datenschutzbehörde, da gibt es ein Problem mit der Durchsetzung.“

„Und was soll ich jetzt machen?“

„Was würden Sie mir jetzt empfehlen?“ – Die EU-Datenschutzgrundverordnung (DSGVO) regelt eigentlich, dass Unternehmen wie Facebook in so einem Fall die Betroffenen informieren müssen. Die Daten hätten außerdem ausreichend geschützt sein müssen. Digital Rights Ireland (DRI) hat jetzt eine Kampagne gegen das Datenleck gestartet. Die Behörde ruft alle betroffenen EU-Bürger*innen dazu auf, sich auf einer Seite zu melden, um sich einer Sammelklage anzuschließen.

Die Organisation hat eine Beschwerde bei der irischen Datenschutzbehörde eingereicht und bereite sich jetzt darauf vor, die Interessen der Betroffenen vor Gericht zu verteidigen. Sie hoffen auf eine Geldstrafe für Facebook. Laut Antoin O Lachtnain, dem Vorsitzenden des DRI, sei Schadensersatz der effektivste Weg, um das Verhalten solcher Unternehmen zu verändern. O Lachtnain teilte in einer Pressemitteilung mit, die Betroffenen hätten es verdient, dass gehandelt werde. Es werde die erste Massenklage dieser Art sein, aber nicht die letzte. Der Schutz persönlicher Daten müsse auch von Tech-Giganten ernst genommen werden. In Irland, wo die Klage eingereicht werden soll, sind ebenfalls vier Europaparlaments-Abgeordnete betroffen. Der eine, den wir erreicht haben, war bisher noch nicht informiert: „Thank you very much, I’m gonna check that.“

Hier ein Auszug der 21 Europaparlaments-Abgeordneten aus den 495 Millionen öffentlich gewordenen Facebook-Daten. Aus Darstellungsgründen ist die Auswahl auf drei der zwölf Datenfelder begrenzt.

Vorname Nachname Facebook-ID Rasmus Andresen 527663564 Nicola Beer 100007881284126 Markus Buchheit 100006694718581 Reinhard Bütikofer 100008630252868 Anna Cavazzini 100000262987579 Claudia Gamon 100010436447588 Evelyne Gebhardt 100016268624250 Jens Geier 1363156736 Roman Haider 100000413182051 Ska Keller 523468833 Moritz Körner 1352313174 Constanze Krehl 1158709068 Katrin Langensiepen 100005787309009 Colm Markey 100000022088951 Lukas Mandl 729863682 Martina Michels 100006943489312 Guido Reil 100000208531822 Günther Sidl 100000037125333 Martin Sonneborn 1546310408 Harald Vilimsky 1751634286 Marion Walsmann 100007809971233

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

NPP 228 zu freier medizinischer Bildung: Aus der Notaufnahme ins Internet

netzpolitik.org - 17 April, 2021 - 10:51


https://netzpolitik.org/wp-upload/2021/04/npp-228-zu-freier-medizinischer-bildung-fachsimpeln-bis-der-arzt-kommt.mp3

FOAM heißt auf Englisch eigentlich Schaum, dabei geht es bei „Free Open Access Medical Education“ um ziemlich handfeste Inhalte. Die Bewegung, die medizinische Bildung frei zugänglich machen möchte, ist vielleicht klein, dafür aber umso aktiver. In einem Universum aus Podcasts, Youtube-Kanälen, Blogs, Chatgruppen und verteilt über viele soziale Medien stellen Ärztinnen, Sanitäter und Pflegekräfte medizinisches Wissen bereit.

Doch genauso wichtig wie die Inhalte ist in der Community die gemeinsame Diskussion: Was steckt hinter einem bestimmten EKG? Wie geht ihr vor, wenn eine Patientin Bauchschmerzen hat? Was haltet ihr von dieser neuen Studie? Wir sind in eine Welt eingetaucht, in der wir manchmal vor lauter Fachwörtern und Abkürzungen kaum etwas verstanden haben. Und doch haben wir gemerkt: Was da passiert, ist ziemlich cool und wichtig für uns alle. Denn im Rettungswagen entscheiden zwar manchmal Sekunden über das Leben eines Patienten, aber bis Wissen aus der Forschung in der klinischen Praxis ankommt, vergehen nicht selten Jahre. FOAM beschleunigt nicht nur den Wissenstransfer, sondern überwindet Hierarchien: Hier fachsimpeln langjährige Chefärztinnen mit jungen Rettungssanitätern, die gerade ihre Ausbildung begonnen haben.

Wir haben für diese Podcast-Folge mit Leuten geredet, die sich mit FOAM auskennen: Philipp Gotthardt und Martin Fandler vom Blog Nerdfallmedizin berichten von ihrem Projekt. Die beiden Ärzte erklären regelmäßig in Videos, was sie bei Krampfanfällen tun oder was man beim Intensivtransport beachten muss. In ihrem Team ist auch Wiebke Turner, die zuerst im Rettungsdienst gearbeitet hat und jetzt Medizin studiert. Sie betreut die Nerdfälle – die man sich vielleicht am besten als Telegram-Gruppen-True-Crime-Rätsel für Mediziner:innen vorstellen kann. Wiebke erzählt uns außerdem, wie sie FOAM während ihrer Ausbildung entdeckt hat und wie sie das Wissen auch im Studium nutzen kann.

Ein besonderes Thema haben sich die zwei Rettungsaffen Sven Heiligers und Tobias Feltus gesucht. Tobi, einer der beiden Notfallsanitäter, war früher Jurist. Beide klären auf ihrem Blog und in Podcast oft über rechtliche Themen auf. Und auch wenn es in der FOAM-Bewegung eine auffällige Häufung an Notfallmediziner:innen gibt: Am Ende sprechen wir noch mit dem Psychiater Jan Dreher. Auf seinem Blog Psychiatrie to Go und im Psychcast von ihm und dem Alexander Kugelstadt, Arzt für Psychosomatische Medizin und Psychotherapie, dreht sich alles um die Psyche.

Hier ist die MP3 zum Download. Es gibt den Podcast wie immer auch im offenen ogg-Format.

Shownotes

Einleitung

Nerdfallmedizin

Nerdfälle

Die Rettungsaffen

Psychiatrie To Go

NPP ist der Podcast von netzpolitik.org. Abonniert unser Audio-Angebot, etwa bei iTunes, Spotify oder mit dem Podcatcher eures Vertrauens direkt von netzpolitik.org/podcast. Wie immer freuen wir uns über Kommentare, Wünsche und Verbesserungsvorschläge.

Quellen

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Wochenrückblick KW15: Über Corona-Apps und andere Sorgen

netzpolitik.org - 16 April, 2021 - 18:37

Wegen einer gravierenden Sicherheitslücke forderte der Chaos Computer Club den Einsatz-Stopp der Luca-App. IT-Expert:innen zeigten auf, dass Unbefugte auch mit minimalen Programmierkenntnissen eine Bewegungshistorie erstellen können. Die gibt an, wo sich Luca-Nutzer:innen in den vergangen 30 Tagen aufhielten.

Die schwerwiegende Kritik kommt zu einem brisanten Zeitpunkt: Aus Anfragen von netzpolitik.org an die zuständigen Staatskanzleien und Ministieren geht hervor, dass die Betreiber der Luca-App mehr als 20 Millionen Euro von den Bundesländern erhalten. Alleine Bayern zahlt 5,5 Millionen Euro für seine Jahreslizenz. Chris Köver und Alexander Fanta berichten.

Vielleicht gibt das Aufwind für Lucas „Konkurrenz“, der Corona-Warn-App. Die bekam letzte Woche ein neues Feature spendiert. Nutzer:innen können sich damit auf Veranstaltungen oder in der Gastronomie einchecken. Wer ein Restaurant oder eine Veranstaltung betritt, soll in Zukunft einen QR-Code scannen. Wird ein Gast zu einem späteren Zeitpunkt positiv auf Corona getestet, kann er das in der App melden. Die warnt wiederum alle anderen Gäste, die sich zur selben Zeit im Restaurant aufgehalten haben.

In einem Interview mit Ingo Dachwitz und Chris Köver skizzierte der Informatiker Henning Tillmann eine Bestandsaufnahme der heiß diskutierten Corona-Apps. Gut weg kommen dabei weder die Corona-Warn-App, noch die Luca-App. Was bleibt, sind schwere Vorwürfe an die Verantwortlichen.

Alle gegen Facebook

Josefine Kulbatzki berichtet von einer Ex-Mitarbeiterin von Facebook, die dem Tech-Konzern Untätigkeit im Kampf gegen Fake-Likes, Hetze und Desinformation vorwirft. Dabei können Manipulationskampagnen auf der Plattform die öffentliche Meinung formen und Einfluss auf politische Entscheidungen nehmen. Bei all den schlechten Nachrichten möchte man fast Mitleid haben mit der alten Datenkrake, wenn es nicht noch schlimmer kommen würde:

Durch ein Datenleck bei Facebook strömten Handynummern von mehr als einer halben Milliarde (!) Menschen ins Internet. Unter den Opfern befinden sich über sechs Millionen Deutsche, von denen wiederum 50 im Bundestag sitzen. Einige Parlamentarier:innen hörten von netzpolitik.org zum ersten Mal von der Veröffentlichung ihrer Handynummern. „Sie machen mir jetzt Angst“, war nur eine von vielen erschütterten Reaktionen.

Von Berlin aus in die weite Welt

berlin.de wandert zukünftig komplett in öffentliche Hand. Bisher wurde die Website durch eine öffentlich-private Partnerschaft mit dem Unternehmen BerlinOnline betrieben. Das Bündnis digitale Stadt Berlin forderte in einem offenen Brief eine innovative und gemeinwohlorientierte Neugestaltung des offiziellen Hauptstadtportals.

Zehn Expert:innen zur deutschen Umsetzung der EU-Urheberrechtslinie hat der Ausschuss für Recht und Verbraucherschutz des Bundestages am Montag befragt. Der umstrittene Artikel 17 und der drohende Einsatz von Uploadfiltern dominierten die mit zwei Stunden sehr knapp bemessene Anhörung.

Kommende Woche soll die Europäische Kommission ein KI-Gesetz vorlegen, dass den Einsatz von Künstlicher Intelligenz schärfer reguliert. Auch wenn Social-Credit-Systeme wie in China verboten werden sollen und biometrische Überwachung im öffentlichen Raum als Hochrisikotechnologie eingestuft wird, fordert ein Teil der EU-Abgeordneten noch strengere Regeln.

Über soziale Medien stacheln politische Aktivist:innen die Menschen von Sierra Leone zu Gewalttaten an. Die Regierung von Sierra Leone plant deshalb ein neues Gesetz, das mehr Sicherheit im Netz verspricht. Menschenrechtler:innen befürchten die Einschränkung der Meinungsfreiheit im Land. Der Cybercrime Act 2020 könnte mühsam erkämpfte demokratische Errungenschaften zunichte machen.

Vergangenen Sonntag verstrich der zweite Jahrestag der Verhaftung von Julian Assange. Obwohl viele Akteur:innen aus Politik und Zivilgesellschaft weltweit die Freilassung des Wikileaks-Gründers fordern, sitzt Assange immer noch in einem Londoner Hochsicherheitsgefängnis. Die USA halten weiterhin an ihren 18 Anklagepunkten fest. Assange als Privatperson ist fraglos streitbar – seine journalistischen Verdienste müssen trotzdem gewürdigt werden. Die erste Sichtung des Collateral-Murder-Videos, das die Ermordung elf unschuldiger Personen durch zwei US-amerikanische Kampfhubschrauber dokumentierte und 2010 von Wikileaks veröffentlicht wurde, hat mich damals tief bewegt und nachhaltig geprägt.

Und damit endet der netzpolitische Wochenrückblick. Einen schönen Frühlingsanfang allerseits. Zeit wird’s.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Corona-Warn-App: Digitaler Impfnachweis wird dezentral und Open Source

netzpolitik.org - 16 April, 2021 - 13:58

Noch vor den Sommerferien will die Bundesregierung einen digitalen Impfnachweis zur Verfügung stellen. Wie der Nachweis genau ausgestaltet sein wird, war in dieser Woche Thema im Ausschuss Digitale Agenda. Schon zum Start soll der digitale Impfpass in die Corona-Warn-App integriert werden können. Außerdem speichern die Nutzer:innen des digitalen Angebots ihre Daten ausschließlich auf ihren Smartphones und nicht auf einem zentralen Server. Die technische Ausgestaltung wird vollständig Open-Source sein, das heißt für die Öffentlichkeit zugänglich und überprüfbar.

Der Impfnachweis soll aus drei Teilen bestehen. Impfzentren und Arztpraxen bekommen eine Software zur Verfügung gestellt, in dem sie die Daten der Impfung, also beispielsweise Termin oder Impfstoff, und Name und ggf. Geburtsdatum der geimpften Person eintragen. Daraus erstellt die Software dann einen QR-Code, den die Nutzer:innen scannen oder ausdrucken können. So landet der QR-Code, der alle wichtigen Informationen für den Nachweis einer Impfung enthält, auf dem eigenen Smartphone oder – für Menschen, die ihn nicht digital nutzen möchten – auf einem Stück Papier. 

Der zweite Teil des Nachweises soll eine App werden, in der die Nutzer:innen ihren QR-Code speichern können. Sie können ihn so bei Bedarf digital vorzeigen und auch wieder löschen. Das soll schon zum geplanten Start des Angebots Mitte des zweiten Quartals auch in der Corona-Warn-App möglich sein.

Die dritte Komponente wird eine Anwendung für diejenigen Stellen, die nachprüfen, ob eine Person geimpft ist. Welche Stellen das letztendlich sein werden, hängt davon ab, welche Privilegien Menschen mit einer Impfung bekommen. Da der Pass vor allem die Reisefreiheit teilweise zurückbringen soll, könnte die dritte Komponente zunächst vor allem an Ländergrenzen zum Einsatz kommen.

Die fünf Blockchains sind vom Tisch

Offen ist, wie der Nachweis für die Menschen funktionieren soll, die bis zum Start der digitalen Lösung bereits ihre Impfung erhalten haben. Bislang wurden Impfungen in den gelben Papier-Impfpässen dokumentiert. Diese weltweit gültigen Impfpässe sollen durch das digitale Angebot nicht ersetzt, sondern ergänzt werden. Der digitale Impfnachweis gilt nur für die Covid19-Impfung und soll mit dem Ende der Corona-Pandemie wieder abgeschafft werden.

Die ursprünglich vorgesehene Ausgestaltung des Nachweises über die Blockchain-Technologie ist vom Tisch. Für das Vorhaben der Firma Ubirch, den digitalen Impfpass mit fünf Blockchains fälschungssicher zu machen, gab es im Vorfeld viel Kritik, insbesondere weil der Impfpass so nicht mit den Anforderungen der Europäischen Union zusammengepasst hätte. Die EU-Kommission hatte Ende März einen Vorschlag für ein europaweites Nachweissystem gemacht. Ubirch entwickelt das deutsche Angebot gemeinsam mit IBM, Govdigital und Bechtle.

Auf Twitter informiert Ubirch knapp darüber, dass „in der ersten Implementierungsphase“ keine Blockchain-Technologie vorgesehen sei. Auf der Webseite der Firma wird das eigene Angebot für einen digitalen Impfpass zwar weiterhin mit Blockchain beschrieben, im Hinblick auf die Zusammenarbeit mit der Bundesregierung aber auf ein FAQ des Gesundheitsministeriums verlinkt, das keine Blockchain-Nutzung vorsieht, da das deutsche Angebot sich nach den EU-Vorgabe richte, um mit Systemen anderer Mitgliedsstaaten zusammenarbeiten zu können.

Reisefreiheit auch mit negativem Testergebnis

Ein EU-weites System sei laut Ministerium nicht möglich, da eine entsprechende Ausschreibung zu lange gedauert hätte und die EU-Staaten unterschiedliche Systeme zur Impfdokumentation verwenden würden, die schwer miteinander in Einklang zu bringen seien.

Menschen, die noch keine Impfung erhalten haben, sollen nach dem Wunsch der EU-Kommission nicht von der Reisefreiheit ausgeschlossen werden, insbesondere da ein Großteil der Bevölkerung noch gar kein Impfangebot bekommen hat. Wer mit einem QR-Code ein aktuelles, negatives Corona-Testergebnis vorweisen kann, dürften dann ebenfalls reisen.

Aus den Informationen der Bundesregierung geht nicht hervor, ob negative Testergebnisse im selben System zur Verfügung gestellt werden sollen wie die Impfungen. Wir haben hierzu im Bundesgesundheitsministerium nachgefragt, die Antwort tragen wir nach.

Update 17.10 Uhr: Das Gesundheitsministerium hat unsere Anfrage beantwortet, ohne auf unsere Nachfragen zu Testergebnissen einzugehen. Stattdessen bekamen wir Textbausteine aus dem FAQ als Antwort, die die offenen Fragen nicht beantworteten. Wir haben erneut nachgefragt.

Auch offen ist, ob und wie Menschen, die eine Infektion durchgemacht haben und nach aktuellem wissenschaftlichen Erkenntnisstand zumindest eine Zeit lang gegen eine Neuinfektion geschützt sind, von einem digitalen Angebot berücksichtigt werden könnten. Einen derartigen Immunitätsausweis plante Gesundheitsminister Spahn schon zu Beginn der Pandemie.

Der Ethikrat riet in einer Stellungnahme davon ab, bis die wissenschaftlichen Erkenntnisse zum Immunität klarer seien. Auch beim digitalen Impfpass gibt es diese Bedenken. Die WHO äußerte sich Anfang März kritisch zu den EU-Plänen. Solange nicht geklärt sei, wie lange die Immunität nach einer Impfung anhalte, sei eine solche Lösung gefährlich für den Pandemieverlauf.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Netzsperren: EU-Parlament will illegales Sport-Streaming stoppen

netzpolitik.org - 16 April, 2021 - 11:55

Der Rechtsausschuss des EU-Parlaments will illegale Echtzeit-Übertragungen von Sportveranstaltungen mit Hilfe von Netzsperren stoppen. Nach Meinung einer Mehrheit der Abgeordneten sind Live-Streams als geistiges Eigentum besonderes schützenswert, da der Verkauf von Sendelizenzen im Profi-Sport eine essentielle Einnahmequelle darstelle.

Der verhältnismäßig kurze Übertragungszeitraum von Sport-Events erfordere schnelle und wirksame Sperr-Maßnahmen. Die Anbieter von Vermittlungsdiensten sollen in Zukunft illegale Live-Streams nach Benachrichtigung durch Rechteinhaber:innen oder durch sogenannten „trusted flaggers“, zu deutsch vertrauenswürdige Hinweisgeber:innen, „unverzüglich oder so schnell wie möglich und spätestens nach 30 Minuten“ unterbinden.

Für EU-Parlamentsmitglied Adrián Vázqez Lázara spielt dabei der Schutz der Zuschauer:innen eine Rolle – bei der Nutzung illegaler Streaming-Angebote steige angeblich das Risiko durch Viren oder Datendiebstahl.

Eine Studie des wissenschaftlichen Dienstes des EU-Parlaments kommt zum Ergebnis, dass im Jahr 2019 rund 7,5 Millionen Abonnements für illegale Live-Streams abgeschlossen wurden. Die Betreiber:innen der besagten Seiten generierten über eine halbe Milliarde Euro Umsatz – und dem Fiskus gingen etwa 113,5 Millionen Euro an Steuern verloren.

Bei dem Ruf nach rascher Sperrung illegaler Streams handelt es sich um eine politische Forderung des EU-Parlaments. Die EU-Kommission kann nun entscheiden, ob sie den Gesetzesvorschlag aus dem Parlament aufnimmt oder nicht. Ob sie darauf reagieren wird, beantwortete die Kommission auf Anfrage von netzpolitik.org zunächst nicht.

Riskanter Ruf nach Netzsperren

Der Rechtsausschuss des EU-Parlaments plädiert auf eine einheitliche, europaweite Regulierung im Rahmen eines Digital Services Act, um die Effizienz der Maßnahmen zu gewährleisten. Die nötige Schnelligkeit im Kampf gegen rechtswidrige Live-Streams erfordert rabiate Mittel – der Rechtsausschuss wirft den Einsatz von Netzsperren und dynamischer Verfügungen für Rechteinhaber:innen, die damit Sperren ohne gerichtliche Prüfung durchsetzen könnten, in den Ring.

Dabei sind Netzsperren politisch höchst umstritten, auch wenn die Unterhaltungsindustrie immer wieder erfolgreich für das Kontrollinstrument lobbyiert hat. Mit dem Instrument der Netzsperre blockieren Internet-Provider gesamte Webseiten – durch die direkte Sperrung der IP-Adresse oder Löschung von Einträgen aus den DNS-Servern. Allerdings lassen sich Netzsperren relativ leicht umgehen, zum Beispiel durch einen VPN-Zugang oder den Wechsel des DNS-Servers, weshalb IT-Expert:innen an der Wirksamkeit von Netzsperren zweifeln.

Auch wenn der Rechtsausschuss den Einsatz von Netzsperren im angemessenen Einklang mit Datenschutz und Grundrechten fordert, bleibt das Instrument aus grundrechtlicher Sicht fragwürdig. Nach Ansicht von Stimmen aus der Zivilgesellschaft stellen Netzsperren einen schwerwiegenden Eingriff in die Kommunikationsfreiheit des Internets dar. Die Netzaktivistin Julia Reda warnt vor Kollateralschäden für legale Kommunikation.

Kritik äußert auch der EU-Abgeordnete Patrick Breyer von der Piratenpartei. Der Textentwurf sei „eine Bedrohung für unsere digitalen Grundrechte und hätte genauso gut von Lobbyisten der Verwertungsindustrie diktiert worden sein können”, sagt Breyer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Bilanz der Corona-Warn-App: „Dann hat man irgendwie das Interesse verloren“

netzpolitik.org - 16 April, 2021 - 08:59

Henning Tillmann ist Diplom-Informatiker, selbstständiger Softwareentwickler und Co-Vorsitzender des netzpolitischen Thinktanks D64. Die öffentliche Debatte um die Corona-Warn-App des Bundes hat er von Beginn an begleitet. Wir sprachen mit dem Sozialdemokraten über Stärken und Schwächen der App, über das neue Update zur Cluster-Erkennung und den Bösewicht Datenschutz.

Zieht eine durchwachsene Bilanz der Corona-Warn-App: Henning Tillmann. - CC-BY-SA 3.0 Nico Roicke

netzpolitik.org: Wir diskutieren jetzt seit mehr als einem Jahr über Anwendungen für die Nachverfolgung und Warnung von Corona-Kontakten. Die deutsche Corona-Warn-App wurde vor etwa zehn Monaten veröffentlicht und ist weltweit eine der am häufigsten heruntergeladenen. Eine Erfolgsgeschichte?

Henning Tillmann: Die Corona-Warn-App ist meiner Meinung nach tatsächlich gut gestartet. Nachdem man sich auf den dezentralen Ansatz mit den Schnittstellen von iOS und Android geeinigt hatte, hat man im Mai und Juni relativ viel richtig gemacht. Man hat zum Beispiel für Transparenz gesorgt und den Quellcode veröffentlicht. Dafür hat man sich bei der Veröffentlichung der App auch entsprechend feiern lassen. Ich habe selten ein Podium mit so vielen zufriedenen Bundesministern gesehen. Nur danach hat man irgendwie das Interesse verloren. Nach dem Launch gab es monatelang überhaupt keinen Fortschritt.

netzpolitik.org: Was hätte passieren müssen?

Tillmann: Bessere Kommunikation zum Beispiel. Die App hatte am Anfang ja einige Kinderkrankheiten. Das kann passieren und ist nicht schlimm. Die Frage ist, wie man damit umgeht. Vielleicht erinnert sich der eine oder die andere noch an die Fehlermeldung bei iPhones, dass die App in der Region nicht verfügbar ist.

netzpolitik.org: Die Meldung erschien bei vielen Menschen den ganzen Sommer über.

Tillmann: Genau. Da konnte die Corona-Warn-App zwar gar nichts für, aber man hätte direkt in der App drauf hinweisen können, dass man sich darüber keine Sorgen machen muss und die Anwendung funktioniert. Ähnlich bei den Kontakten mit niedrigem Risiko. Viele Menschen waren erstaunt, als sie über eine Vielzahl solcher Kontakte informiert wurden und haben sich gefragt, was das eigentlich bedeutet. Im Endeffekt nämlich nichts, weil man sich mit dieser Info nicht testen lassen konnte und auch nicht in Quarantäne begeben muss. Das wurde aber erst im September oder Oktober in der App erklärt. Das sind nur zwei der vielen kleinen Dinge, die man hätte besser machen können.

netzpolitik.org: Inzwischen ist Bewegung in die Sache gekommen. In mehreren Updates kamen neue Funktionen hinzu, etwa ein Kontakttagebuch.

Tillmann: Seit dem Winter geht es voran. Das Kontakttagebuch wurde von der User Experience her aber nicht so gut umgesetzt. In den ersten Monaten war es quasi versteckt. Wenn man eine Funktion täglich nutzen soll, dann sollte man nicht erst danach suchen müssen. Und warum gibt es nicht die Möglichkeit, sich per Push-Meldung daran erinnern zu lassen, hier auch wirklich Buch zu führen? Auch das Dashboard mit den aktuellen Daten zur Pandemie bleibt hinter den Möglichkeiten zurück. Mit unserem Covid-Bot von D64 liefern wir täglich mehr Informationen als auf diesen vier Kacheln zu finden sind. Warum findet man in der App nicht auch die jeweils aktuellen Infektionsschutzverordnungen der Länder oder Tipps zum Lüften? Das ist so schade, weil mit den 26 Millionen Downloads ja ein echtes Potenzial da gewesen wäre. Mit neuen, besseren Funktionen hätte man noch stärker für die App werben können.

So sehen die Info-Kacheln in der Corona-Warn-App aus (Screenshots vom 15. April 2021):




Mit Cluster-Erkennung gegen Superspreading-Events

netzpolitik.org: In diesen Tagen bekommt die App nun eine neue Funktion: eine Check-In-Möglichkeit per QR-Code. Worum geht es da?

Tillmann: Wir wissen seit dem letzten Sommer, dass sich das Virus nicht gleichmäßig über die Bevölkerung verteilt, sondern dass sogenannte Superspreading-Events eine besondere Bedeutung haben. Also Situationen, in denen sich sehr viele Menschen auf einmal anstecken. Wir wissen außerdem, dass Aerosole das Virus in geschlossenen Räumen auch über weitere Strecken tragen, dass in bestimmten Situationen also nicht nur die Menschen im direkten Umfeld gefährdet sind. Deshalb ist es wichtig, diese Ansteckungs-Cluster und die betroffenen Personen zu identifizieren, damit sie sich isolieren und testen lassen können.

netzpolitik.org: Wie geht das?

Tillmann: Christian Drosten hatte damals den Vorschlag mit dem Kontakttagebuch gemacht, also erst einmal ganz manuell mit Stift und Zettel. Aber wenn man digitale Lösungen hat, warum soll man das nicht auch digital machen? Da gibt es drei Möglichkeiten. Die komplett händische Variante gibt es inzwischen als das Kontakttagebuch in der Corona-Warn-App. Zusätzlich gibt es zwei technische Varianten der Cluster-Erkennung: Einmal manuell mit dem Scannen von QR-Codes, so wie es jetzt mit dem neuen Update umgesetzt wird: Wenn man an einen öffentlichen Ort geht, checkt man sich ein und wird später benachrichtigt, falls jemand von den anderen Besuchern positiv getestet wird. Die Alternative wäre die automatische Cluster-Erkennung.

netzpolitik.org: Du hattest diesen Ansatz gemeinsam mit dem SPD-Gesundheitspolitiker Karl Lauterbach schon letzten August ins Spiel gebracht. Wie würde die automatische Cluster-Erkennung funktionieren?

Tillmann: Indem man auch andere Signale einbezieht, die dem Smartphone zur Verfügung stehen, um das Szenario zu erkennen, in dem ich mich bewege. Die Corona-Warn-App hat ja immer nur eine Eins-zu-eins-Bestimmung. Also: Habe ich mit jemandem Kontakt gehabt, der mittlerweile positiv getestet wurde? Und wie lang und nah war der Kontakt? Diese Grenzwerte sind relativ starr. Dabei beachtet die App überhaupt nicht, in welchem Umfeld ich war. Waren zum Zeitpunkt des Risikokontaktes fünf Geräte um mich herum, nur eines oder gleich 50? Habe ich mich bewegt oder saß ich an einem Platz? Das geht auch ohne GPS-Daten, denn jedes Smartphone hat ja mittlerweile einen Schrittzähler. War ich zu dem Zeitpunkt in ein WLAN eingeloggt? Wenn ja, war ich wahrscheinlich eher in einem Gebäude. All diese Informationen könnten genutzt werden, um zu schätzen, ob ich in einer Cluster-Situation war oder nicht. Identifizierende Informationen benötige ich hierfür nicht mal. Es reicht die Information „WLAN: ja oder nein“, „In Bewegung: ja oder nein“, oder „Anzahl der Signale in Umgebung: 27“. Das müsste natürlich auf dem Gerät passieren, um weiter dem datenschutzfreundlichen Ansatz der Corona-Warn-App zu entsprechen.

netzpolitik.org: Nehmen wir mal ein konkretes Beispiel: Ich war in einem Café und dort in einem WLAN eingeloggt. Mein Handy weiß, dass ich mich zwei Stunden lang nicht bewegt habe, weil ich dort gearbeitet habe. Und zehn andere Leute waren ebenfalls zu der Zeit im Café und haben sich nicht bewegt. Und wenn jetzt eine Person davon positiv ist, können die anderen neun Leute darüber informiert werden, weil man über diese zusätzlichen Informationen weiß, dass es eine mögliche Cluster-Situation war.

Tillmann: Völlig richtig. Und dabei habe ich trotzdem keine GPS-Daten verarbeitet, sondern eben nur diese Info zum Cluster-Szenario.

Das Update kommt zu spät

netzpolitik.org: Ginge das ohne die Mitwirkung von Apple und Google, auf deren Framework die App aufsetzt?

Tillmann: Das wäre tatsächlich nur möglich, wenn man Apple und Google mit an Bord holt. Es geht hier ja um Daten, die sie ohnehin schon haben und für ihre Zwecke verwenden. Das könnte sich auch die Corona-Warn-App zunutze machen. Ich hätte auch dafür plädiert, dass man die Funktion optional macht: Man sollte die Leute nicht zwingen. Wer lieber nur die Basisfunktionalität möchte, sollte dabei bleiben können. Aber diese Debatte hat sich inzwischen leider eh erledigt.

netzpolitik.org: Weil die Entscheidung in die andere Richtung gefallen ist. Die Corona-Warn-App erhält jetzt mit dem neuen Update eine Funktion zur manuellen Cluster-Erkennung, also eine anonyme Check-In-Funktion mit QR-Codes. Gleichzeitig haben viele Bundesländer für mehr als 20 Millionen Euro die Luca-App eingekauft. Mit der checkt man sich ebenfalls manuell per QR-Code ein, aber mit Namen und Kontaktdaten, die im Falle einer Infektion an die Gesundheitsämter weitergeleitet werden können.

Tillmann: Das Update für die Corona-Warn-App kommt einfach zu spät. Wie gesagt: Wir debattieren seit dem letzten Sommer über die Cluster-Erkennung. Die Luca-App hat dieses Vakuum mit geschicktem Marketing genutzt. Ich muss das mal ganz deutlich sagen: Ich habe die Corona-Warn-App im letzten Jahr immer wieder verteidigt. Und die Kernfunktionalität finde ich auch immer noch gut. Aber dass jetzt eine private Anwendung der Standard für die Cluster-Benachrichtigung wird, liegt daran, dass man es verschlafen hat, die Corona-Warn-App rechtzeitig weiterzuentwickeln.

Check-In per QR-Code? Alle Infos zum Hoffnungsträger Luca und zur Kritik an der App von Musiker Smudo findet ihr hier.

netzpolitik.org: Das ändert natürlich nichts an dem heftigen Streit um die Luca-App.

Tillmann: Die Debatte ist aktuell erhitzt. Viele Kritikpunkte sind meiner Meinung nach sehr berechtigt. Insbesondere hätte die Lücke beim Zugriff auf die Check-In-Historie der Schlüsselanhänger niemals passieren dürfen. Andere Debatten wie etwa über die Möglichkeit, sich durch Fotos von QR-Codes von überall aus einzuchecken, nehme ich eher mit Verwunderung zur Kenntnis. Das kann generell mit allen QR-Codes passieren. Entscheidend ist aber vor allem eine Frage: Hilft die Luca-App den Gesundheitsämtern wirklich? Da würde ich mir endlich eine klare Aussage und etwas Empirie wünschen.

Eine Sache dürfen wir aber auch nicht vergessen: Die Papierlisten in den Restaurants sind alles andere als perfekt. Einerseits sind sie sehr umständlich und andererseits gab es Stalking-Fälle und auch unrechtmäßige Zugriffe der Polizei. Eine digitale Lösung – auch unabhängig von Luca – kann da also schon hilfreich sein, wenn sie kryptologische Standards erfüllt und sicher ist.

Warum Palmer und Nida-Rümelin Unrecht haben

netzpolitik.org: Zurück zur Corona-Warn-App. Würdest du sie trotzdem noch empfehlen?

Tillmann: Wenn man sie hat, soll man sie nutzen. Wer sie nicht hat, sollte sie herunterladen – und vor allem auch das Testergebnis melden, wenn man positiv ist. Es ist mir ein Rätsel, warum so wenig Menschen im Falle eines positiven Test die App nutzen, um anderen zu warnen

netzpolitik.org: Für einige ist klar, wo das Problem mit der Corona-Warn-App liegt: im Datenschutz. Prominente wie der Tübinger Oberbürgermeister Boris Palmer oder der Münchner Philosoph Julian Nida-Rümelin haben ihn öffentlichkeitswirksam als Schuldigen für die durchwachsene Bilanz ausgemacht.

Tillmann: Zunächst einmal hat die Enttäuschung auch viel mit den überhöhten Erwartungen zu tun, die in die App gesteckt wurden. Teilweise wurde behauptet, wenn die App da sei, könne man wieder zur Normalität zurückkehren und auch auf Lockdowns verzichten. Das war grundfalsch. Dabei sollte die App von Beginn an nur eine Unterstützung für die Benachrichtigung von Risikokontakten sein, die nicht die Kontaktverfolgung durch die Gesundheitsämter und andere Infektionsschutzmaßnahmen ersetzt.

netzpolitik.org: Und der Datenschutz?

Tillmann: Das ist ja immer so: Wenn man kein Argument hat, dann ist es der Datenschutz. Dabei hatte man damals ohnehin keine andere Wahl als den dezentralen Ansatz, denn Apple und Google haben als Monopolisten für Smartphone-Betriebssysteme den Standard gesetzt. Wenn man Bluetooth-Tracing betreiben will, dann geht das am besten auf Ebene des Betriebssystems, weil man die Hardware permanent nutzt. Das war für mich neben der Datenschutzdebatte ein ganz zentraler Punkt, weshalb man Apple und Google an Bord haben will. Man kann drüber diskutieren, wie die uns dann ihre Lösung vorgesetzt haben. Aber ohne sie ging es eben nur schlecht. Das zeigen etwa die Versuche von Frankreich und Australien, zentralisierte Systeme ohne Zusammenarbeit mit den beiden Unternehmen umzusetzen.

Die Super-App gibt es nicht

netzpolitik.org: Frankreich hat seine ursprüngliche Tracing-App inzwischen eingestampft, in Australien wurden bislang kaum Menschen via App gewarnt.

Tillmann: Die Apps sind kläglich gescheitert, unter anderem, weil man die ganze Zeit das Smartphone offen haben musste, damit der Schlüsselaustausch funktioniert. Ich habe mit Julian Nida-Rümelin im Winter zwei Mal auf einem Podium gesessen und versucht, ihm den gerade beschriebenen technischen Hintergrund zu erklären. Aber ich habe es aufgegeben. Er hat seine Agenda, bei der es ihm mehr um seine Prosa als um Fakten zu gehen scheint. Das soll er machen. Aber dann muss er aushalten, dass man sagt: Das ist Unsinn.

netzpolitik.org: In der Debatte werden oft Vergleiche mit erfolgreichen Vorbildern wie Taiwan oder Südkorea bemüht.

Tillmann: Nur haben die gar keine Tracing-App, wie wir sie hier in Deutschland haben. Es gibt Quarantäne-Apps, aber auch die haben eine komplett andere Voraussetzung. Wenn man zum Beispiel nach Taiwan einreist, muss man sich in Quarantäne begeben und wird in ein entsprechendes Hotel gebracht. Da wird dann mittels GPS überwacht, dass ich mich nicht aus dem Hotel bewege. Quasi eine virtuelle Fußfessel. Das ist etwas völlig anderes als eine App zur Kontaktverfolgung. Wir haben da in einer westlichen Demokratie einfach andere Voraussetzungen. Japan zum Beispiel, das auch manchmal als Vorbild genannt wird, hat eine ganz ähnliche Tracing-App wie wir, die auch auf dem Apple-Google-Framework basiert, mit all seinen Funktionen, aber eben auch mit seinen all seinen Einschränkungen.

Ich frage mich ja, wer in Deutschland überhaupt all die Daten auswerten soll, die manche gerne sammeln würden. Die Gesundheitsämter sind doch heute schon überlastet. Die Pandemie zeigt, was wir in den letzten 15, 20 Jahren im Bereich der digitalen Transformation verpasst haben. Viele asiatische Länder haben da deutlich bessere Voraussetzungen, von der digitalen Pandemiebekämpfung bis zur Bildung. Wer behauptet, das könne man jetzt mit einer Super-App wettmachen, streut den Menschen Sand in die Augen.

netzpolitik.org: Vielen Dank für das Gespräch!

Hinweis: Wir haben dieses Gespräch Mitte Februar im Rahmen unseres Netzpolitik-Podcasts zu Apps in der Pandemiestrategie geführt. Eine nachträgliche Frage zur aktuellen Einschätzung der Luca-App hat Henning Tillmann schriftlich im April beantwortet.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Neue Version der Corona-Warn-App: Einchecken per QR-Code

netzpolitik.org - 15 April, 2021 - 14:22

Aus dem zunächst angekündigten Termin „recht zeitnah nach Ostern“ wurde nichts mehr, doch noch diese Woche soll die Corona-Warn-App ein Update bekommen, das viele seit langem herbeisehnen. Dann wird man sich mit der offiziellen Warn-App des Bundes auch auf Veranstaltungen, im Museum oder Restaurant einchecken können, sobald diese Orte wieder öffnen. „Noch diese Woche“ soll die so genannte Event-Registrierung in der App kommen, sagt eine Sprecherin des Bundesgesundheitsministeriums, das die App bei SAP und der Telekom in Auftrag gegeben hat.

Die Idee hinter der neuen Funktion: Infektionsrisiken in Räumen erkennen, in denen man sich gemeinsam mit einer infizierten Person aufgehalten hat. Diese so genannte Cluster-Erkennung hatten Fachleute bereits vergangenen Herbst gefordert. Bisher registriert die App über ein Funksignal lediglich den räumlichen Abstand zu einem anderen Smartphone. Doch seit klar ist, wie stark Aerosole zum Infektionsrisiko beitragen, reicht dieser Ansatz nicht mehr aus. Inzwischen sind sogar Fälle bekannt, in denen Menschen andere angesteckt haben, die nicht mal zeitgleich, sondern nach ihnen in denselben Räumen waren. Mit der Event-Registrierung könnte die Corona-Warn-App künftig auch in solchen Fällen Gäste warnen – auch jene, die weiter als 1,5 Meter entfernt saßen oder später den Raum betraten.

Personen, die die App nutzen, sollen dazu künftig beim Betreten eines Restaurants oder einer Veranstaltung einen QR-Code scannen. Wird ein Gast später positiv auf das Virus getestet, kann er oder sie das in der App melden. Andere Gäste, die zeitgleich dort waren, werden gewarnt.

Anderes Prinzip als Luca

Eine Check-In-Funktion per QR-Code, das bietet auch die zuletzt prominent von Rapper Smudo beworbene Luca App. Doch die beiden Systeme unterscheiden sich in einem wesentlichen Punkt: In Luca müssen sich Nutzer:innen mit ihren persönlichen Daten anmelden: Telefonnummer, Name und Adresse. So soll später sicher gestellt werden, dass das Gesundheitsamt sie im Fall eines Infektionsrisikos persönlich erreichen kann. Das Amt trifft auch die Entscheidung darüber, ob überhaupt eine Warnung ausgelöst werden soll.

In der neuen Version 2.0 der Corona-Warn-App wird dagegen ein anderer Ansatz verfolgt: Nutzer:innen bleiben in diesem Fall weiterhin anonym. An welchen Orten sie in den vergangenen 14 Tagen eingecheckt waren, wird lediglich auf ihrem eigenen Smartphone gespeichert, in einem „Kontakttagebuch“, das in die App eingebaut ist. Meldet jemand eine Infektion, werden alle anderen Gäste der Veranstaltungen über die App gewarnt, so wie das bisher auch schon im Fall einer Risikobegegnung geschah. Das Gesundheitsamt ist an keiner Stelle dazwischen geschaltet und bekommt auch keine Daten.

Ministerium sieht Apps als Ergänzung

Um die Frage, welche der beiden Varianten im Kampf gegen die Ausbreitung des Virus den größeren Nutzen hat, ist in den vergangenen Wochen eine heftige Diskussion entbrannt. Die einen feierten Luca als einen Heilsbringer im Kampf gegen die Pandemie. Aus den zahlreichen Bundesländern, die bereits Lizenzen für Luca abgeschlossen haben, hört man, die persönlichen Daten seien für die Kontaktverfolgung der Gesundheitsämter unabdingbar.

Das Lager der Corona-Warn-App-Fans sieht hingegen den Vorteil gerade darin, dass Nutzer:innen auch ohne Zutun des Gesundheitsamtes gewarnt werden können: Die Ämter seien derzeit schließlich ohnehin überlastet. Sie plädieren für mehr Vertrauen auf die Eigenverantwortung als für Kontrolle. In der Dokumentation von SAP heißt es dazu lapidar: „Diese Lösung priorisiert die Geschwindigkeit der Warnungen über ihre Genauigkeit. Ein höheres Maß an Genauigkeit würde eine händische Einordnung einer lokalen Gesundheitsbehörde erfordern und die entsprechenden Ressourcen.“

Im Bundesgesundheitsministerium ist man explizit darauf bedacht, die beiden Apps nicht gegeneinander auszuspielen – wohl auch vor dem Hintergrund, dass 13 Bundesländer bereits Fakten geschaffen haben und der Bund ohnehin die Kosten von 20 Millionen Euro trägt. Dort lautet die Sprechregelung: „Die CWA bleibt das Mittel der Wahl, um unbekannte Risiken zu erkennen und Kontakte zu warnen. Die anonyme Event-Registrierung der CWA ist hauptsächlich für private Events gedacht.“ Luca solle dagegen die bisherigen Papierlisten in Restaurants ersetzen und dafür sorgen, dass Kontaktdaten zum Gesundheitsamt gelangen.

Damit Gäste beim Betreten einer Veranstaltung nicht mehrere QR-Codes checken müssen, hat man sich mit den Betreibern von Luca darauf verständigt, die Codes zusammenzuführen: Wer einen Code scannt, soll dann sowohl über Luca als auch anonym via Corona-Warn-App eingecheckt werden.

Neue Funktion bringt neue Risiken

Die Corona-Warn-App gilt vielen als vorbildliches IT-Projekt: Der Quellcode ist offen und wurde von unabhängigen Expert:innen überprüft, auch für ihre Datensparsamkeit wird sie gelobt. Doch die neue Funktion bringt auch neue Angriffsflächen mit sich. Darauf weisen auch die Entwickler:innen von SAP in ihrer Dokumentation hin.

Carmela Troncoso forscht an der Universität EPFL zum Thema Privatsphäre, sie hat das Modell CrowdNotifier mitentwickelt, das in der Schweiz bei der Event-Registrierung zum Einsatz kommt und ist im engen Austausch mit den Entwickler:innen von SAP. Kritisch seien vor allem drei Dinge an der neuen Funktion, sagt sie.

Die erste Schwachstelle betrifft gezielte Angriffe auf Veranstaltungsorte. Nutzer:innen könnten die Warnungen in der Corona-Warn-App dazu missbrauchen, um unliebsame Orte dicht zu machen. Denkbar wäre etwa eine Angreiferin, die alle Schwulenbars der Stadt fälschlicherweise zu Infektions-Hotspots erklärt. Dazu braucht diese Person lediglich eine Sammlung der QR-Codes dieser Orte, um sich dann zuhauf mit der App einzuchecken. Anschließend besorgt sie sich eine falsche Corona-Infektion, zum Beispiel mit einer überzeugenden Vorstellung bei der Hotline der Telekom, die ihr eine Tele-Tan zuteilt, mit der sie ihren Infektionsstatus in der App melden kann.

Um das Schlimmste zu verhindern, haben die Entwickler:innen von SAP die Menge der möglichen Check-ins pro Tag gedeckelt: Nach einer bestimmen Zahl ist Schluss. Wo die Grenze liegt, ist nicht bekannt. Behoben ist das Problem damit aber nicht, wie auch SAP eingesteht. Es wird dadurch lediglich schwerer, eine große Zahl an Veranstaltungsorten gleichzeitig dicht zu machen.

Versteckte Check-Ins

Weitere Schwächen betreffen die Anonymität der Nutzer:innen. Warnt eine positiv getestete Nutzerin über die neue Corona-Warn-App andere, dann lädt sie binnen kurzer Zeit ihre verschlüsselten Check-ins aus den vergangenen Tagen hoch. „Wenn ich all diese Schlüssel herunterlade, weiß ich, dass es eine Person gibt, die all diese Orte besucht hat“, sagt Troncoso. Die Daten sind zwar verschlüsselt und lassen sich erst mal keiner Person zuordnen. Gelingt es aber, die Orte hinter den Schlüsseln aufzudecken, könnte dieses Bewegungsprofil in Kombination viel über die Nutzerin verraten.

SAP betreibt hier Risikobegrenzung, indem es die echten Check-Ins mit einem Haufen falscher Veranstaltungen mischt. So sollen die echten Anmeldungen quasi unter Pseudo-Events begraben werden, die es in Wirklichkeit nie gab und die daher auch keine falschen Warnungen auslösen können. Troncoso bleibt aber skeptisch: „Es ist ein sehr schwer zu lösendes Problem.“

Ein weiteres Problem: Über den schnellen Upload der Check-Ins ließe sich auch ableiten, wie viele positive Personen sich zeitgleich an einem Ort oder auf einer Veranstaltung befanden. Anders als bei Luca kann dies jedoch nicht in Echtzeit abgelesen werden, sondern erst zeitversetzt, wenn diese Personen ihre Infektion in der App melden.

Troncoso betont, dass SAP all diese Schwachstellen selbst ausführlich dokumentiert habe. Es sei eine bewusste Entscheidung gewesen, diese Risiken in Kauf zu nehmen, als Preis für mehr Geschwindigkeit. Letztlich, sagt Troncoso, sei die Corona-Warn-App trotz dieser Risiken noch traumhaft, vergleiche man sie mit der Luca-App. Denn die dezentrale Architektur macht es Angreifer:innen eben schwer, an die Daten zu kommen: Sie zu sammeln, kostet Fleiß und Beinarbeit. In einem zentralen Modell wie Luca reicht hingegen der Zugriff auf den zentralen Server.

Könnten Apple und Google das Update verhindern?

Großbritannien hat von Anfang an eine Check-In-Funktion in seine nationale Warn-App „NHS Covid-19“ integriert. Nutzer:innen scannen bereits seit dem Herbst QR-Codes, wenn sie ins Pub oder auf den Sportplatz gehen. Allerdings läuft dort aktuell einiges nicht nach Plan. Die BBC berichtete Anfang der Woche, dass Apple und Google ein geplantes Update der App verhindert hätten. Nutzer:innen sollten gebeten werden, im Fall einer Infektion ihre Check-In-Historie hochzuladen. Das verstößt aber gegen die strikten Regeln, die Google und Apple jenen Apps auferlegen, die ihre Infrastruktur – die Exposure Notifications – für die Kontaktverfolgung nutzen. Sowohl die britische App als auch die Corona-Warn-App bauen auf diesem Gerüst auf.

Auf Twitter äußerten IT-Fachleute die Befürchtung, dieses Schicksal könne deswegen auch der neuen Version der Corona-Warn-App drohen, wenn die Event-Registrierung kommt. Doch eine Sprecherin des Gesundheitsministeriums räumt die Bedenken aus: Die App sei anders als die NHS COVID-19 App in Großbritannien nicht von der Sperre bedroht, da sie auf einem dezentralen Ansatz basiere. „Die Corona-Warn-App speichert weder ortsbezogene Daten via GPS, noch legt sie personenbezogene Daten auf einem zentralen Server ab. Nutzerinnen und Nutzer können allenfalls manuell und freiwillig im Kontakttagebuch Einträge zu besuchten Orten oder Personen als Erinnerungshilfen anlegen.“ Damit stehe die App in Einklang mit den Richtlinien von Google und Apple.

Update 15.4.: In einer ursprünglichen Version dieses Beitrags stand, durch die Check-In-Funktion der Corona-Warn-App könne man erfahren, wie viele Gäste auf einer Veranstaltung waren. Richtig ist: Über den Upload der Check-Ins kann man rekonstruieren, wie viele positive App-Nutzer:innen dort waren. Wir haben den Fehler korrigiert. Außerdem haben wir das Statement von Carmela Troncoso um einen Satz zur Risikoabwägung von SAP ergänzt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Desinformation auf Facebook: Erst handeln, wenn es zu spät ist

netzpolitik.org - 15 April, 2021 - 08:00

Fake-Likes, Hetze, Desinformation: Facebook steht regelmäßig in der Kritik, nicht genug gegen die missbräuchliche Verwendung der Plattform zu tun. Selbst Enthüllungen innerhalb des Unternehmens, die eine verdeckte politische Einflussnahme über Facebook beweisen, ignoriert das soziale Netzwerk immer wieder, so lange es geht. Sophie Zhang, die zweieinhalb Jahre für Facebook arbeitete und „koordiniertes nicht-authentisches Verhalten“ unterbinden sollte, hat jetzt dem Guardian von ihren Erfahrungen bei Facebook berichtet.

Zhang entdeckte unter anderem in Honduras und Aserbaidschan Aktivitäten, mit denen demokratiefeindliche Regierungen versuchten, ihre Macht zu sichern und ihre Bevölkerung zu manipulieren. Sie meldete die Vorgänge, sprach mit Vorgesetzten und dem Facebook-internen „Threat Intelligence Team“. Trotzdem passierte monate-, in manchen Fällen jahrelang nichts.

Ihr wurde mitgeteilt, ohne Druck von außen stünden diese Länder nicht im Fokus des Unternehmens, im Unterschied zu Ländern wie den USA, Taiwan oder Polen. Die Eindämmung von Manipulationskampagnen in den USA und Westeuropa sei wichtiger, sagte ihr der Vizepräsident für Integrität, Guy Rosen. Diese Priorisierung sei „richtig“, soll Rosen gesagt haben.

Im September 2020 wurde Zhang wegen schlechter Leistung gefeuert. Die von ihr aufgedeckten Netzwerke und Aktivitäten, mit denen in Ländern des Globalen Südens Menschen politisch beeinflusst wurden, liefen indes ungestört weiter. Die Unterbesetzung und Untätigkeit Facebooks beschäftigt sie noch heute, wie sie dem Guardian erzählt: „Ich habe immer noch Schlafstörungen. Manchmal war es einfach zu überwältigend und frustrierend. Offen gesagt hätte ich niemals so viel Verantwortung tragen und Macht haben sollen.“ Gegenüber dem Guardian wies Facebook die Vorwürfe zurück.

Verschiedene Strategien nicht-authentischen Verhaltens

Was genau unter „Coordinated Inauthentic Behaviour“ (CIP) fällt, ist nur lose definiert. In seinen Gemeinschaftsstandards nennt Facebook zuvorderst Fake-Profile, aber auch die Verwendung von „Seiten, Gruppen oder Veranstaltungen“, um Nutzende zu täuschen, gehören dazu. Täuschungen umfassen mit diesen Identitäten abgesetzte Kommentare und Likes, vorgeschobene Seiteninhalte oder Inhalte, die auf falschen Tatsachen beruhen.

Eine besonders beliebte Form von „Fake-Engagement“, für die es laut Zhang keine ausreichende Regelung bei Facebook gibt, ist der meinungsverzerrende Einsatz von Facebook-„Seiten“. So darf zwar jeder Mensch nur einen einzigen Account anlegen und nutzen. Diese Einschränkung gilt jedoch nicht für den Betrieb von „Seiten“, wie sie etwa Caféhäuser oder Nachrichtenorganisationen anbieten. Mit Hilfe dieses Schlupflochs kann sich ein einziger individueller Account hinter beliebig vielen Fake-„Seiten“ verstecken und darüber Kommentare, Likes und sonstiges Engagement hinterlassen.

Zhang bemerkte diese Form der Manipulation in exzessivem Ausmaß etwa bei der umstrittenen Wiederwahl des Präsidenten von Honduras, Juan Orlando Hernández. Damals betrieb einer der Administrierenden der Facebook-„Seite“ von Hernández hunderte andere „Seiten“, die wie ganz normale Benutzendenkonten aussahen, also Namen, Profilbilder und Berufsbezeichnungen enthielten. Mit diesen Profilen wurden hunderttausende Fake-Likes auf Hernándezs offizieller Seite hinterlassen, um ihn populärer erscheinen zu lassen und ihm womöglich mehr Reichweite zu verschaffen.

Inzwischen hat Facebook diese Seiten entfernt, aber erst nach einem mühsamen Kampf. Er dauerte ein Jahr, Zhang musste immer wieder insistieren, bis in Honduras 181 Konten und 1.488 Seiten gelöscht wurden. Der Direktor für Globale Bedrohungen bei Facebook, David Agranovich, bedankte sich offiziell für Zhangs Arbeit. Inoffiziell teilte er ihr mit, dass ihr Engagement dazu geführt hätte, einen Präzedenzfall zu schaffen. Profilähnliche Seiten zählten ab da offiziell zu nicht-authentischem Verhalten.

Gegenüber netzpolitik.org teilte ein Facebook-Sprecher mit, dass es unterschiedliche Integritätschecks für Facebook-„Seiten“ gäbe, damit diese nicht für Spam oder ähnliches verwendet würden. Menschen könnten ihre Profile verlieren, sollte ihre „Seite“ in Spam oder Belästigungen verwickelt sein.

Bloß keine schlechte Publicity

Dem Guardian gegenüber berichtete Zhang, dass der Präzedenzfall wenig geändert hätte. Sie deckte immer mehr verdächtige Netzwerke auf, unter anderem in Mexiko, Argentinien, Italien, Afghanistan, Südkorea, Tunesien, der Türkei und vielen weiteren Ländern. In Albanien wurde ein politischer Führer von solchen Netzwerken unterstützt. Die meisten der von ihr gemeldeten Fälle sollen von der Threat Intelligence Agency nicht weiter untersucht worden sein, obwohl sie die Richtlinien von Facebook verletzten.

So auch im Falle des autoritären Aserbaidschans, wo dieselbe Taktik wie in Honduras angewendet wurde. Dort wurde jedoch weniger demokratisches Engagement vorgetäuscht, sondern „Seiten“ dazu benutzt, um massenhaft Regimekritiker zu verunglimpfen. 2019 produzierten diese Seiten 2,1 Millionen Beiträge, in denen Oppositionelle und unabhängige Medien beschimpft und der autokratische Präsident und seine Regierungspartei YAP gelobt wurden. Zhang meldete die Fälle und musste feststellen, dass niemand für das Land zuständig war.

Für Aserbaidschan gab es kein eigenes Team, das Land fiel weder in den Zuständigkeitsbereich Nahost noch in den für Osteuropa. Zuständig war eigentlich das Türkei-Team, doch dort war niemand ausreichend mit der ehemaligen Sowjetrepublik und ihren sprachlichen Nuancen vertraut. Um einschätzen zu können, ob die Posts gegen die Richtlinien verstießen, mussten die Mitarbeitenden Posts mit Google übersetzen. Zhang musste immer wieder insistieren und den Fall in verschiedenen internen Gruppen vorbringen, bis er Beachtung fand. Erst im Dezember wurde ein Team damit beauftragt, die Belästigungskampagnen genauer zu untersuchen, die Arbeit startete im Januar 2020.

Anfang Februar stellte die Untersuchungsgruppe fest, dass die Kampagnen eindeutig mit der Regierungspartei YAP verbunden waren. Einen Monat später wurde das Prioritätslevel der Eskalation ohne Begründung von „hoch“ wieder auf „niedrig“ heruntergestuft. Trotz der Beweise, dass eine nicht-demokratische Partei ihre Bevölkerung über Facebook beeinflusste, wurde der Fall abgetan. Zhang setzte sich erneut dafür ein, unter anderem nach Meldungen über gewaltvolles Vorgehen gegenüber Journalist*innen in Aserbaidschan. Nach ihrer Kündigung im Oktober 2020 wurden 589 Facebook-Konten, 7.665 Seiten und 437 Instagram-Konten gelöscht, die mit der YAP in Verbindung standen.

In einem ausführlichen Abschiedsstatement an ihre Kolleg*innen, das von Buzzfeed News veröffentlicht wurde, schrieb Zhang: „Wir hielten es nicht für wichtig genug, um sie zu stoppen. Ich weiß, dass ich nun Blut an meinen Händen kleben habe.“

Facebook widerspricht der Darstellung von Sophie Zhang in einer Mail an netzpolitik.org „fundamental“. Laut dem Pressesprecher würden die Teams global arbeiten, da es sich um globale Probleme handele, einer Priorisierung widerspricht das Unternehmen jedoch. Zur Größe der Teams gab es keine Auskunft. Laut dem Pressesprecher gehe Facebook aggressiv gegen Missbrauch überall in der Welt vor. Er nennt unterschiedliche Länder wie Moldavien, Mexiko und Pakistan, die einzelnen Sperrungen veröffentlicht Facebook auch auf einer eigenen Webseite mit Beschreibungen der eingesetzten Taktiken.

Es geht auch anders

Dass Facebook auch schnell handeln kann, insbesondere wenn Medien-Skandale drohen, zeigt Zhang an anderen Beispielen. Bei den britischen Parlamentswahlen wurden konstant Aktivitäten überwacht und bei Bedarf gestoppt. Zwei Tage vor den schwedischen Parlamentswahlen änderte Guy Rosen kurzerhand die Facebook-Richtlinien, obwohl es sich in dem Fall nicht mal um vorgetäuschtes Verhalten, sondern um echte Personen handelte, die sich organisiert hatten.

Die anstehenden deutschen Wahlen sind laut dem Sprecher eine Top-Priorität Facebooks. Das Unternehmen habe seit letztem Herbst ein Team erstellt, das unterschiedliche Methoden verwenden werde, um fragwürdige Inhalte früh genug zu erkennen. Parallel dazu wolle man ein System aufbauen, um intern Inhalte zu flaggen, die viral gehen könnten. Diese sollen dann näher überprüft werden. Bereits jetzt hätten sie eine kleine Einsatzzentrale in Baden-Württemberg und Rheinland-Pfalz in Betrieb genommen und sich mit dem Bundesamt für Sicherheit und Informationstechnik zu Wahlbeeinflussung ausgetauscht. Es geht ja, zumindest auf dem Papier – wenn man nur will.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Expertenanhörung zur Urheberrechtsnovelle: „Das Beste, das dem Urheberrecht passieren konnte“?

netzpolitik.org - 14 April, 2021 - 13:50

Paul Keller ist Gründer von Open Future, einem „Think Tank for the Open Movement“. Er war als Vertreter von Communia bei einer Anhörung zur Urheberrechtsreform im Deutschen Bundestag als Sachverständiger dabei und berichtet davon.

Es war natürlich im vornherein klar, dass zwei Stunden viel zu wenig Zeit sind, um zehn Expert*innen zur deutschen Umsetzung der EU-Urheberrechtsrichtlinie zu befragen. Aber genau das hatte sich der Ausschuss für Recht und Verbraucherschutz des Bundestages am Montag zwischen 14 Uhr und 16 Uhr vorgenommen. Am Ende reichte es statt zu der geplanten zwei Fragerunden nur zu einer und als um 16.10 Uhr die letzten Fragen beantwortet waren, hatten die meisten Abgeordneten den Raum (oder ihre remote zugeschalteten Wohnzimmer) schon wieder verlassen.

Alles in allem war der Erkenntnisgewinn aus der Anhörung dann auch eher bescheiden. Richtige neue oder überraschende Beiträge fanden sich nicht in den Eingangsstatements und Antworten der eingeladenen Expert*innen (Offenlegung: Der Autor dieses Beitrages war von der Linksfraktion als Experte eingeladen worden).

Den Ton gesetzt hatte schon am Morgen der CDU-Berichterstatter Ansgar Heveling, der im Tagesspiegel-Background von „einem hart errungenen Kompromiss“ gesprochen hatte und gegenüber dem Medium durchblicken ließ, dass es nicht mehr viel Spielraum für grundlegende Änderungen im parlamentarischen Verfahren nach der Anhörung“ geben würde. (Korrekturhinweis: Wir haben eine Formulierung geändert, die ursprünglich ein fälschliches Zitat enthielt.)

Wie grundrechtskonform sind Uploadfilter?

Die Anhörung drehte sich vor allem um die Umsetzung des Artikels 17 und im Großen und Ganzen zeichnete sich Unterstützung für den Gesetzentwurf der Bundesregierung ab. Die Einschätzungen zum neuen Urheberrechts-Diensteanbieter-Gesetz reichten von „das Beste, was dem Urheberrecht passieren konnte“ (die Bonner Urheberrechtlerin Louisa Specht Riemenschneider, ab 00:43:00 in der Videoaufnahme) bis „verfassungsrechtlich sehr problematisch“ (der Berliner Verfassungsrechtler Christoph Möllers, ab 00:27:25 in der Videoaufnahme).

Das Gros der Expert*innen beurteilte den Regierungsentwurf als einen mehr oder weniger gelungenen Versuch, die inhaltlich sehr widersprüchlichen Vorgaben aus Artikel 17 der EU-Richtlinie ins deutsche Rechtssystem zu übertragen. Julia Reda von der Gesellschaft für Freiheitsrechte verwies in ihrem Eingangsstatement (ab 00:33:45 in der Videoaufnahme) darauf, dass „Deutschland nun zur Umsetzung der Richtlinie verpflichtet sei“ und dass der Bundestag dennoch beachten müsse, „dass die Vereinbarkeit des Artikels 17 mit der EU-Grundrechtecharta akut infrage steht“. Sie verwies hiermit noch einmal auf die polnische Klage gegen Artikel 17 der Richtlinie, die momentan vor dem Europäischer Gerichtshof (EuGH) verhandelt wird.

Insbesondere der für den 22. April erwartete Schlussantrag des Generalstaatsanwalts am EuGH schwebt somit weiterhin wie ein Damoklesschwert über dem deutschen (und allen anderen) Umsetzungsverfahren.

Bis dahin ist es allerdings nicht wahrscheinlich, dass die Detailkritik der meisten Expert*innen noch zu wesentlichen Anpassungen am Entwurf für das Urheberrechts-Diensteanbieter-Gesetz führen wird. Eine mögliche Ausnahme bildet hier das sogenannte „Red-Button“-Verfahren. Die Bundesregierung hatte dieses Verfahren ganz zum Ende in ihren Entwurf aufgenommen, um es so „vertrauenswürdigen Rechtsinhabern nach Prüfung durch eine natürliche Person“ zu ermöglichen, Uploads bis zum Abschluss des Beschwerdeverfahrens zu blockieren, sofern diese die „die wirtschaftliche Verwertung des Werkes erheblich beeinträchtigen“.

Schlimmer geht immer

Die Rechteinhaber*innen sind hiermit offensichtlich immer noch nicht zufrieden und streben eine weitere Verschärfung an. Vor allem der Vorschlag, den „Red-Button“ auch automatisch (also ohne menschliche Prüfung) betätigen zu dürfen, ist brandgefährlich, da dadurch vollautomatisiertes Filtern selbst für offensichtlich nicht urheberrechtsverletzende Inhalte quasi durch die Hintertür ermöglicht würde. Hiermit würden alle Versuche, die negativen Effekte von Uploadfiltern auf die Kommunikationsgrundrechte einzuschränken, wieder zunichte gemacht.

An diesem Punkt besteht auch nach der Anhörung die Gefahr, dass sich der Gesetzentwurf noch einmal erheblich verschlechtern könnte.

Weitere Attacken der Vertreter der Rechteinhaber*innen erscheinen eher chancenlos. So forderte Eduard Hüffer für die Presseverleger allen ernstes die Obergrenze für mutmaßlich erlaubte Nutzungen von Textfragmenten auf 50 (!) Zeichen abzusenken, “da in der deutschen Sprache die Essenz eines Artikels in 30 bis 35 Zeichen wiedergegeben werden kann” – ab 00:20:15 in der Videoaufnahme).

In der Anhörungen kamen noch zwei andere Konfliktfelder zur Sprache. Sowohl die Vertreterin von Google als auch die den Rechteinhaber*innen nahestehenden Experten äußerten sich äußerst kritisch zum Direktvergütungsanspruch für Urheber*innen und ausübende Künstler*innen, der vor allem vom Vertreter der Initiative Urheberrecht vehement verteidigt wurde.

Wie kommen eBooks in die Online-Bibliothek?

Ein letzter Konflikt entspannte sich zu der Frage, ob dem Gesetzentwurf der Bundesregierungen noch Neuregelungen zum Ausleihen von eBooks durch Bibliotheken hinzugefügt werden sollen, um hier endlich Rechtssicherheit zu schaffen und die Blockadehaltung vieler Verleger zu brechen, die sich bisher oft weigern, populäre eBooks für den Verleih zu lizenzieren.

Die Linksfraktion hatte hierzu einen Antrag eingebracht und auch der Bundesrat regt in seiner am 26. März verabschiedeten Stellungnahme eine solche Regelung an, um diesem seit mehr als zehn Jahren vorgetragenen Anliegen der öffentlichen Bibliotheken entgegenzukommen.

Der Kölner Urheberrechtler Christian-Henner Hentsch erkannte zwar an, dass dieses Problem schon seit Jahren bestehe, um dann die Frage zu stellen, „warum es dann ausgerechnet jetzt“ angegangen werden müsse. Er schlug vor, „dem Ganzen noch ein bisschen mehr Zeit zu geben“ (ab 01:39:10 in der Videoaufnahme). Am Ende seines Beitrages verstieg er sich auch noch zu der aberwitzigen Behauptung, dass das Schaffen von Rechtssicherheit beim Verleih von eBooks dazu führen würde, dass Verleger eBooks nur noch nach Ablauf eines Erstverwertungsfensters für gedruckte Bücher auf den Markt bringen würden (offensichtlich ist das Verleihen von eBooks durch öffentliche Bibliotheken so gefährlich, dass Verleger dann lieber gar nichts an eBooks verdienen?).

Hier machte sich noch mal deutlich, dass gerade die Verlegerlobby das Urheberrecht immer noch als ihr exklusives Spielzeug betrachtet, das einzig und allein dazu besteht, ihre Geschäftsmodelle zu schützen – selbst wenn das auf Kosten des Zugangs zur Literatur mitten in eine globalen Pandemie geht.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Sicherheitslücke bei Luca: Schlüsselanhänger mit Folgen

netzpolitik.org - 14 April, 2021 - 11:20

In den vergangenen Tagen begegneten viele der Luca-App zum ersten Mal im Alltag. Ikea, die Buchhandelskette Thalia oder auch Holz Possling in Berlin machen die App inzwischen zur Voraussetzung, um einkaufen zu dürfen. Die App soll den Gesundheitsämtern dabei helfen, die digitale Kontaktverfolgung zu gewährleisten, wenn Deutschland irgendwann wieder aufmacht. In mehreren Bundesländern ist sie inzwischen Standard.

Zugleich reißt die Kritik an der App nicht ab. Gestern tauchte die wohl bislang gravierendste Sicherheitslücke auf. Die IT-Expert:innen Bianka Kastl und Tobias Ravenstein machten gemeinsam mit weiteren Fachleuten öffentlich, wie auch Unbefugte mit Daten aus Luca eine Bewegungshistorie anderer Nutzer:innen rekonstruieren konnten: Mit minimalen Programmierkenntnissen ließ sich nachvollziehen, an welchen Orten die Nutzerin in den vergangenen 30 Tagen war. Ein Traum für alle, die eine andere Person ohne deren Wissen überwachen oder stalken wollen, ein Alptraum für die Betroffenen.

„Lucatrack“ nennen sie diese Sicherheitslücke, unter dem entsprechenden Hashtag lässt sich in den sozialen Medien inzwischen einiges dazu lesen. Den Machern der App zufolge ist sie bereits seit gestern geschlossen, Kastl und ihre Mitstreiter hatten die Firma vorab informiert.

Foto des Anhängers reicht

Die Schwachstelle findet sich in einem Bereich, den die Betreiber von Luca als Stärke verkauften: den Schlüsselanhängern zur App. Mit diesen sollten alle, die kein Luca-fähiges Smartphone besitzen, dennoch an dem System teilnehmen können und ihre Kontaktdaten bei Veranstaltungen oder in Läden hinterlassen können. 14.000 solcher Anhänger sind den Luca-Machern zufolge aktuell im Umlauf. Auf ihnen ist ein QR-Code gedruckt, den Veranstalter einscannen können.

In der App selbst wird dieser QR-Code ständig neu generiert, niemand checkt zwei Mal mit dem gleichen Code ein. Auf dem Anhänger ist das nicht möglich, der Code ist dadurch klar der Besitzerin des Anhängers zuzuordnen. „Damit entsteht die Sicherheitslücke LucaTrack.“

Wie man die Daten bekam, demonstrierte die Gruppe in einem Video anhand eines Prototyps von Luca: Demnach reichte ein Foto des auf dem Schlüsselanhänger befindlichen QR-Codes, um alle Check-ins nachzuvollziehen, die in den vergangenen 30 Tagen damit passierten. Zu sehen waren dann Adressen und Koordinaten der besuchten Orte sowie der Zeitpunkt, zu dem man dort war – ganz übersichtlich auf einer Karte dargestellt.

Verräterische Metadaten

Das Start-up NeXenio, das hinter Luca steht, hat die Sicherheitslücke bestätigt. In einer noch gestern Abend veröffentlichten Stellungnahme schreiben die Macher: „Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.“ Das ist richtig, allerdings weist die Gruppe um Kastl darauf hin, dass diese Daten auch gar nicht entscheidend sind. In der Regel lässt sich allein aus den Metadaten – also der Information, wer zu welchem Zeitpunkt wo war – die Identität einer Person recht schnell rekonstruieren.

Besonders bedenklich ist die Lücke auch, weil Luca in einigen Bundesländern nicht nur für das Einkaufen oder den Museumsbesuch zum Einsatz kommen soll. In Mecklenburg-Vorpommern etwa sind auch Kirchen, Moschee, Schulen oder Selbsthilfegruppen ausdrücklich dazu aufgefordert worden, Anwesende mit Hilfe von Luca zu dokumentieren. Alles von der Hochzeit bis zur privaten Geburtstagsfeier soll über die App laufen.

Die Gruppe um Kastl und Ravenstein fordert die Macher von Luca nun dazu auf, die Schlüsselanhänger aus dem Umlauf zu ziehen. Luca-Gründer Patrick Hennig sagt dagegen: „Die Schlüsselanhänger selbst haben keinerlei Problem.“ Dass Nutzer:innen der Anhänger ihre Kontakthistorie auslesen könnten, sei von Anfang an so vorgesehen. Die Luca-Macher raten in ihrer Stellungnahme deswegen lediglich dazu, den eigenen Anhänger besser zu hüten. „Wir empfehlen Nutzer:innen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen.“

Die IT-Expert:innen geben an, auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk, über die Lücke informiert zu haben. Smoltczyk hatte zuvor bereits gemahnt, es gebe noch beträchtliche Probleme mit Luca, die Hürden für Hacker müssten erhöht werden. Dass der Senat ohne vorherige Überprüfung 1,2 Millionen Euro für den Einsatz der App ausgab, nannte sie „suboptimal“.

Check-In per QR-Code? Alle Infos zum Hoffnungsträger Luca und zur Kritik an der App findet ihr hier.

Chaos Computer Club fordert Moratorium

Der Chaos Computer Club fordert nach Bekanntwerden der Lücke „ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs.“ Für den Umgang mit hochsensiblen Bewegungs- und Gesundheitsdaten verbiete sich der Einsatz einer Software, deren Komponenten bislang nicht mal von unabhängigen Fachleuten überprüft werden konnten. Der Code des Backends, über das die Luca-Daten laufen, ist trotz der Ankündigung von NeXenio bislang nicht öffentlich.

IT-Sicherheitsexpert:innen haben aber noch aus weiteren Gründen Vorbehalte gegen Luca. Ganz abgesehen von den vielen kleinen Sicherheitslücken, die in den vergangenen Wochen auf Twitter diskutiert wurden, sehen sie ein grundsätzliches Problem in der zentralen Datenverwaltung. Das Start-up trägt damit eine enorme Verantwortung für die Sicherheit der Nutzer:innendaten. Umgekehrt müssen diese sich stark auf die Versprechen von NeXenio verlassen – ein Ausmaß an Vertrauen, das die jetzt bekannt gewordene Sicherheitslücke nicht steigern dürfte. Sicherheitsforscher:innen hatten immer wieder darauf hingewiesen, dass allein die Metadaten, die Luca sammelt, für Unternehmen, Kriminelle, aber auch für Geheimdienste ausgesprochen interessant sind.

13 Bundesländer haben inzwischen Lizenzvereinbarungen für den Einsatz von Luca abgeschlossen. Die Kosten belaufen sich auf mindestens 20 Millionen Euro, wie netzpolitik.org recherchierte. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Eine Ausschreibung hat nur in Bayern stattgefunden, alle anderen Bundesländer verweisen auf Ausnahmen von den Vergaberegeln in Zeiten der Pandemie.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

KI-Gesetz: EU-Kommission möchte Social Scoring verbieten

netzpolitik.org - 14 April, 2021 - 11:12

Die EU-Kommission möchte den Einsatz von Künstlicher Intelligenz für Social-Scoring-Systeme grundsätzlich verbieten. Solche Systeme, die in China bereits getestet werden, sammeln, bewerten und sanktionieren das soziale Verhalten von Menschen. Ihr Einsatz soll auf einer neugeschaffenen Liste von technologischen Anwendungen landen, die künftig in der Europäischen Union verboten sind, berichtet Bloomberg. Der geleakte Entwurf ist inzwischen hier abrufbar.

Die Liste ist Teil eines Gesetzesvorschlags, mit dem die EU sogenannte Künstliche Intelligenz strenger regulieren will. Besonders risikoreiche Anwendungsfälle von automatisierten Entscheidungssysteme sollen demnach künftig von den Behörden genehmigt werden müssen. Die Kommission könnte einen entsprechenden Gesetzesentwurf schon nächste Woche vorlegen. Tatsächlich steht ein Punkt zu KI auf der Agenda der Kommission für 21. April.

Mit dem Vorschlag reagiert die EU-Kommission auf wachsende Besorgnis über den Einsatz von automatisierten Entscheidungssystemen in vielen Bereichen. Aber auch Testläufe für biometrische Videoüberwachung an öffentlichen Orten wie dem Berliner Südkreuz sorgen für Proteste aus der Zivilgesellschaft.

Gänzlich verbieten möchte die EU biometrische Überwachung allerdings nicht, wie aus dem Bericht von Bloomberg hervorgeht. Der Einsatz von automatisierter Gesichtserkennung an öffentlichen Orten soll eine Sondererlaubnis erfordern, heißt es. Es soll eine Liste mit Hochrisiko-Anwendungen für KI geschaffen werden, die nur unter bestimmten Voraussetzungen verwendet werden dürfen. Dazu gehört etwa biometrische Überwachung, selbstfahrende Autos, der KI-Einsatz bei Jobbewerbungen und in medizinischen Geräten.

EU will Kampfroboter nicht verbieten

Der Vorschlag aus Brüssel soll neben Verboten und Hochrisiko-Einstufungen auch eine Einstufung für „niedrige Risiken“ schaffen, derart gekennzeichnete Produkte unterliegen dann Transparenzauflagen. In diese Kategorien sollen Bots und Deep Fakes fallen. Anwendungsfälle, die nicht auf der Liste der EU auftauchen, bleiben erlaubt. Nicht auf der Liste der EU stehen etwa militärische Anwendungen von KI wie Kampfroboter, da diese aus Sicht der Kommission nicht nach den Binnenmarktregeln der EU reguliert werden sollten.

Verantwortlich für die Prüfung von neuen KI-Anwendungen sollen nach dem Vorschlag aus Brüssel die Mitgliedsstaaten sein. Diese sollen neue Behörden zur Prüfung schaffen. Firmen, die bei ihren KI-Produkten falsche Informationen angeben oder nicht ausreichend mit den Behörden kooperieren, sollen Strafen von bis zu vier Prozent ihres globalen Umsatzes riskieren, berichtet Bloomberg.

Einigen EU-Abgeordneten sind die durchgesickerten Vorschläge nicht scharf genug. Das etwa Systeme zur automatisierten Gesichtserkennung im öffentlichen Raum nicht generell verboten werden sollen, sei „ein Schlag ins Gesicht der Zivilgesellschaft“, sagt die Grüne Alexandra Geese.

Update vom 14.04.2021: Der Verweis auf den geleakten Entwurf im 1. Absatz wurde nach Erscheinen des Artikels hinzugefügt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

berlin.de: Neue Impulse für die Website der Hauptstadt

netzpolitik.org - 13 April, 2021 - 19:19

In einem offenen Brief fordert das „Bündnis digitale Stadt Berlin“ eine innovative und gemeinwohlorientierte Neugestaltung der offiziellen Hauptstadtwebsite. Das offene und parteiübergreifende Netzwerk erhofft sich durch die Rekommunalisierung von berlin.de eine demokratische und inklusive Digitalisierungspolitik seitens der Behörden.

Grundlegend sollen auf der Website alle relevanten Informationen für die Stadt Berlin einfach zugänglich sein. Im Rahmen der Transformation zu einem gemeinnützigen Stadtportal wünscht sich das Bündnis Möglichkeiten zur aktiven Teilhabe am Umgestaltungsprozess. Konkret bedeutet das: Eine Förderung von Open-Source-Software und Hackathons, Integration der Partizipationsplattform mein.berlin.de und Mitgestaltung redaktioneller Inhalte.

Auch der Datenschutz darf laut den Aktivist:innen nicht zu kurz kommen. Die Erfassung und Verwaltung personenbezogener Daten müsse auf ein Mindestmaß heruntergeschraubt werden. Hingegen sollen nicht-personenbezogene Daten öffentlich zugänglich gemacht werden, um zu zeigen, welche Themen für die Berliner:innen relevant sind. In technischer Hinsicht wünscht sich das Bündnis digitale Stadt Berlin Open Source-Lösungen für die verwendete Software-Infrastrukturen.

Tauziehen um berlin.de

Das Portal befand sich über Jahre hinweg in privatwirtschaftlicher Hand. Nach mehreren Betreiber:innenwechseln kaufte Ende 2019 das Unternehmerehepaar Silke und Holger Friedrich die BV Deutsche Zeitungsholding inklusive „Berliner Verlag“ und „BerlinOnline“ der Stadtportal GmbH & Co. KG, in deren Portfolio neben berlin.de auch die „Berliner Zeitung“ und der „Berliner Kurier“ stecken.

Anfang 2021 änderte ein Antrag von Rot-Rot-Grün an das Berliner Abgeordnetenhaus den Status Quo für berlin.de: Das Stadtportal berlin.de soll in gänzlich öffentlicher Hand neu aufgestellt werden. Unter den „Prinzipien des Datenschutzes, offener Schnittstellen, der Barrierefreiheit und Multilingualität sowie der Freiheit von kommerziellen Trackinginstrumenten“ müsse berlin.de weiterentwickelt und modernisiert werden. Der Antrag wurde angenommen.

Und laut Dominik Piétron, einem Sprecher des Bündnis digitale Stadt Berlin, sei genau jetzt der richtige Zeitpunkt, um die Bürger:innen der Stadt mit einzubeziehen. Im Gespräch mit netzpolitik.org betonte er die Wichtigkeit der Rekommunalisierung des Stadtportals. Jetzt gehe es vor allem darum, Partizipation und Transparenz bei der Neuaufstellung des Stadtportals von Anfang an mitzudenken.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Wikileaks: Zweiter Jahrestag der Verhaftung von Julian Assange

netzpolitik.org - 12 April, 2021 - 18:36

Am elften April 2019 nahm die britische Polizei Julian Assange fest. Zuvor hatte die Regierung Ecuadors dem Aktivisten und Investigativjournalisten den Asylstatus entzogen. Assange musste die ecuadorianische Botschaft in London verlassen, nachdem er dort seit 2012 in Quasi-Gefangenschaft saß. Er befindet sich seit nun mehr als zwei Jahren im HMP Belmarsh, einem Hochsicherheitsgefängnis im Osten der britischen Hauptstadt.

Im Januar lehnte eine Richterin in London die Freilassung von Julian Assange auf Kaution ab, obwohl sie nur Tage zuvor seine Auslieferung an die USA verhindert hatte. Als Begründung diente nicht etwa eine Unschuldsvermutung, sondern der gesundheitliche Zustand Assanges.

In 18 Anklagepunkten werfen die Vereinigten Staaten von Amerika Assange unter anderem vor, die Whistleblowerin Chelsea Manning unterstützt und sie darüber hinaus zu Spionage angestiftet zu haben. Mit der Veröffentlichung von geheimen Militär-Dokumenten durch Wikileaks sei nach der Argumentation aus Washington die Sicherheit von amerikanischen Informant:innen gefährdet worden.

Unter den mithilfe von Manning geleakten Dokumenten befand sich ein Video, das die willkürliche Tötung von elf Menschen durch US-amerikanische Kampfhubschrauber zeigt und unter dem Namen „Collateral Murder“ bekannt wurde. Zu den Opfern gehörten neben zwei verletzten Kindern auch zwei Reuters-Journalisten, deren Video-Kameras von den Soldaten fälschlicherweise für Waffen gehalten wurden.

Freilassung gefordert

Im Falle einer Auslieferung an die USA drohen Assange aus allen Anklagepunkten zusammengerechnet bis zu 175 Jahre Haft. Menschenrechtsaktivist:innen erwarten außerdem einen unfairen Prozess seitens der US-amerikanischen Justiz. Die Rechtmäßigkeit der Repressalien, denen Assange seit rund einer Dekade ausgesetzt ist, wird von etlichen Akteur:innen aus Politik und Zivilgesellschaft angezweifelt.

Über die Handlungen Assanges als Privatperson lässt sich streiten, seine Handlungen als Journalist sind nach der Auffassung von Menschenrechtsaktivist:innen wie Wolfgang Kaleck dennoch durch die Pressefreiheit gedeckt. Auch deshalb wird seit Jahren vehement seine Freilassung gefordert. Laut Reporter ohne Grenzen könnte sich die Entscheidung über das Schicksal von Assange noch über eine lange Zeit hinziehen – ein Ende sei bisher nicht absehbar. Der Geschäftsführer der Nichtregierungsorganisation, Christian Mihr, betonte in einer Pressemitteilung, dass der Beschluss, Assange weiterhin im Gefängnis festzuhalten, unverhältnismäßig hart sei:

Niemand sollte erleben müssen, was Assange in den vergangenen zehn Jahren widerfahren ist, nur weil er Informationen von öffentlichem Interesse publik gemacht hat. Wir fordern erneut seine sofortige Freilassung aus humanitären Gründen, aber auch in Anerkennung, dass seine Enthüllungen von der Pressefreiheit gedeckt waren

Denn unzweifelhaft hat Assange im Umgang und mit der Veröffentlichung von Informationen journalistisch agiert. Die Verfolgung des Wikileaks-Gründers wird deshalb als wichtiges Beispiel für die Einschüchterung von Journalist:innen aus der ganzen Welt kritisert.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Sierra Leone: Menschenrechtler:innen sehen Meinungsfreiheit durch Cybercrime-Gesetz bedroht

netzpolitik.org - 12 April, 2021 - 16:42

Die Regierung von Sierra Leone plant ein neues Gesetz gegen Cyberkriminalität, das die Sicherheit von digitalen Plattformen erhöhen soll. Doch der Vorstoß der Regierung zog einen Aufschrei der Zivilgesellschaft nach sich: Sierra Leones Bürger:innen befürchten die Einschränkung der Meinungsfreiheit im Land. Über Jahre erkämpfte demokratische Errungenschaften könnten durch die Verabschiedung des Gesetzes unterwandert werden.

Der Cybercrime Act 2020 sieht eine signifikante Stärkung der Befugnisse von Polizei- und Justizbehörden vor. Das Gesetz ermöglicht unter anderem die Speicherung und Analyse sensibler Daten von datenschutzrechtlich besonders schützenswerten Gruppen wie Journalist:innen, Richter:innen, Ärzt:innen oder Mitgliedern der Oppositionsparteien.

In einer Serie von Tweets erläuterte der Rechtsanwalt und Menschenrechtler Ady Macauly, dass die Polizei in Zukunft ohne Wissen von Smartphone-Nutzer:innen Sprachanrufe und Nachrichten in Echtzeit aufzeichnen und an den Staat weitergeben darf. Nach Aussage des Antikorruptionsexperten wird die Regierung das Gesetz ausnutzen, um politischen Dissens zu unterdrücken und Oppositionelle zu verfolgen.

In Gefahr ist laut der Media Foundation for West Africa auch die Gewaltenteilung des Landes. Durch eine Machtverschiebung zugunsten des sierra-leonischen Informations- und Kommunikationsministeriums, das die federführende Rolle des Cybercrime Act 2020 einnimmt, und die Schwächung von Kontrollinstanzen, entstehe laut der NGO enormes Missbrauchspotential.

Gewaltaufrufe in sozialen Medien

Offiziell will die Regierung des westafrikanischen Landes mit dem Gesetz vor allem gegen Hassrede und Falschinformationen vorgehen. Die voranschreitende Digitalisierung Sierra Leones ermöglicht plattformübergreifende Debatten über gesellschaftliche und politische Themen. Es fehlt jedoch an gesetzlicher Regulierung dieser neuen digitalen Freiräume, was zur ungefilterten Verbreitung von Hassrede und Desinformationen führt.

Nach Gewaltaufrufen eines Exilanten, der von den Niederlanden aus über den Messenger-Dienst Whatsapp politische Geschehnisse in Sierra Leone kommentiert und dessen Sprachnachrichten tausende Menschen erreichen, kam es in Teilen des Landes zu Ausschreitungen, die mehrere Menschenleben forderten.

Dabei handelt sich nicht um einen Einzelfall: In der Vergangenheit standen sowohl Unterstützer:innen der Regierungspartei, als auch der Opposition wegen digitalen Mordaufrufen und gezielter Anstiftung von Gewalttaten bis hin zur Androhung eines neuen Bürger:innenkrieges in der Kritik.

Fragile Demokratie

Sierra Leone blickt auf eine konfliktreiche Geschichte zurück. Die Folgen aus über 150 Jahren englischer Kolonialisierung sind immer noch deutlich spürbar. Nach der Beilegung des Bürgerkrieges im Jahr 2002 hat sich das Land weitgehend stabilisiert. Die noch junge Demokratie des Landes bleibt dennoch fragil und die hohe Arbeitslosigkeit im Land sowie der erschwerte Zugang zu Bildung und Ressourcen bergen politisches Spannungspotential.

Hassrede und Desinformation im Internet sind unterdessen ein gesellschaftliches Problem, mit dem Länder auf der ganzen Welt konfrontiert sind. Nicht wenige Stimmen argumentieren, dass unregulierte soziale Netzwerke eine Gefahr für die Demokratie darstellen. Hierbei die Werte Sicherheit und Meinungsfreiheit in ein ausgewogenes Verhältnis zu bringen, ist eine schwierige Aufgabe.

Leider nutzen herrschende Parteien den Wunsch nach Sicherheit immer wieder als Vorwand, um ihre Machtstellung auszubauen und die Rechte der Zivilbevölkerung zu untergraben. Mit diesem Vorwurf muss sich im Rahmen des geplanten Cybercrime Act 2020 auch die Regierung von Sierra Leone auseinandersetzen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Digitale Kontaktverfolgung: Mehr als 20 Millionen Euro für Luca

netzpolitik.org - 12 April, 2021 - 13:30

Die Betreiber von Luca erhalten mehr als 20 Millionen Euro von den Bundesländern, in denen die App landesweit eingesetzt werden soll. Das geht aus Antworten hervor, die netzpolitik.org von den zuständigen Staatskanzleien und Ministerien erhalten hat. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Angaben aus dem Saarland stehen noch aus.

Luca soll die Papierlisten ersetzen, mit denen Veranstalter und Gastronomie bisher Daten für die Kontaktverfolgung der Gesundheitsämter sammeln. Als erstes hatte Mecklenburg-Vorpommern Anfang März angekündigt, die App landesweit einzusetzen und eine Jahreslizenz für 440.000 Euro erworben. Kurz darauf unterschrieb das Land Berlin einen Vertrag über eine Million Euro. Ende März folgten zehn weitere Bundesländer, für die der IT-Dienstleister Dataport die Verhandlungen mit Luca geführt hat.

Vergangene Woche gab Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat. Die anderen Länder verweisen darauf, dass die Vergabeverordnung Ausnahmen zulassen, wenn eine besondere Dringlichkeit vorliege oder ohnehin nur ein Anbieter in der Lage sei, den Auftrag zu erfüllen.

So schreibt etwa Mecklenburg-Vorpommern: „Bei der Beschaffung eines Systems zur Kontaktnachverfolgung ging es uns um eine möglichst schnelle Lösung, die aber insbesondere unsere hohen Anforderungen an den Datenschutz erfüllen musste.  Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert, kam für uns in diesem Fall ausnahmsweise nicht in Frage.“ Die Vergabe sei dort auf „Grundlage einer Marktrecherche“ erfolgt. Laut Zeit Online hat das zuständige Ministeriums für Energie, Infrastruktur und Digitalisierung dafür lediglich Textblöcke aus dem Internet zusammenkopiert.

Woher kommen die Preisunterschiede? Luca-Kosten für die einzelnen Bundesländer:
Mecklenburg-Vorpommern: 440.000 €
Berlin: 1.200.000 €
Brandenburg 990.000 €
Niedersachsen: 3.000.000 €
Hessen: über 2.000.000 €
Rheinland-Pfalz: 1.726.000 €
Bremen: rund 260.000 €
Baden-Württemberg: 3.700.000 €
Schleswig-Holstein: rund 1.000.000 €
Saarland: ? €
Bayern: 5.500.000 €
Sachsen-Anhalt: rund 1.000.000 €
Hamburg: 615.000 € - Alle Rechte vorbehalten Luca / NeXenio

Wie kommt es zu den teils sehr unterschiedlichen Preisen, die die einzelnen Länder für die Nutzung von Luca zahlen? Heruntergebrochen auf die Einwohnerzahl schwanken diese zwischen rund 40 Cent pro Einwohner in Bayern und etwa 20 Cent in Mecklenburg-Vorpommern. Laut Patrick Hennig, Geschäftsführer der Firma neXenio, die Luca entwickelt, werden die Preise nicht allein auf Basis der Einwohnerzahl errechnet. Rund ein Drittel der Kosten sei für die SMS, die Luca an Nutzer:innen verschickt, um ihre Telefonnummern zu verifizieren. Da unklar ist, wie viele dieser Nachrichten tatsächlich anfallen werden, würden diese Kosten pauschal nach Einwohnerzahl abgerechnet.

Ein weiterer Teil sei für die Unterstützung und Infrastruktur der Gesundheitsämter, die Luca ebenfalls nutzen, um die Daten abzurufen und berechne sich aus der Zahl der Ämter pro Bundesland. Der Rest des Preises sei für die eigentlichen Softwarelizenzen des Systemkomponenten von Luca und deren Wartung. Dies sei „für das Bundesland abhängig von der Infrastruktur und wird aufgrund der Einwohnerzahl/Erfahrungswerten/erwartete Nutzung, etc. berechnet“, schreibt Hennig.

Die Kosten für Luca in den bislang 13 Bundesländern, die die App verwenden wollen, soll nach Angaben der rheinland-pfälzische Ministerpräsidentin Malu Dreyer der Bund übernehmen. Die Bundesregierung zahlte im Vorjahr 68 Millionen Euro für Entwicklung, Wartung und Betrieb der Corona-Warn-App, die ebenfalls eine Check-in-Funktion erhält.

Was ist Luca?

Die Luca-App soll ein Problem lösen, das die deutsche Politik geschaffen hat. Die Corona-Verordnungen der Bundesländer erlegen Lokalen und Veranstaltungsorten die Verpflichtung auf, Kontaktdaten ihrer Gäste für die Kontaktnachverfolgung zu sammeln. Bislang lief das an vielen Orten mit Stift und Papier, was für hunderte Beschwerde bei den Datenschutzbehörden sorgte.

In der Smartphone-App können sich Nutzer:innen mit ihrem Namen und ihren Kontaktdaten anmelden. Anschließend können sie per QR-Code überall dort eintreten, wo sie sonst ihre Daten hätten hinterlassen müssen. Die Daten werden verschlüsselt zentral auf Servern der App gespeichert. Wird eine Person später positiv auf Covid-19 getestet, kann sie dem Gesundheitsamt eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat. Wer dann zum selben Zeitpunkt anwesend war, soll dann vom Gesundheitsamt kontaktiert werden. Luca funktioniert damit grundsätzlich anders als die Corona-Warn-App, die Daten dezentral auf den Geräten ihrer Nutzer:innen speichert.

Check-In per QR-Code? Alle Infos zum Hoffnungsträger Luca und zur Kritik an der App findet ihr hier.

Kritik an eiligen Verfahren

Von Anfang an gab es Kritik an der App. Ein Forschungsteam der Universität EPFL in Lausanne zeigte in einer Analyse auf, dass die zentrale Speicherung von Daten auf den Servern der Luca-Betreiber ein potentielles Sicherheitsrisiko darstelle. Auch könnten Nutzer:innen zu leicht de-anonymisiert werden. Wer das zentralisierte System nutze, müsse den Versprechen der Betreiber über Sicherheit und Anonymität vertrauen. Auch der Hamburger Datenschutzbeauftragte Johannes Caspar bemängelte, die Entwickler hätten noch nicht transparent genug gemacht, wie ihre Software eigentlich funktioniert.

Die Macher von Luca antworteten darauf mit einer Stellungnahme, die sie zunächst nur an die Presse schickten. Eine Datenschutzfolgenabschätzung gibt es für die App bislang nicht, sie soll nach Angaben von Geschäftsführer Hennig noch folgen.

Auch wundern sich derzeit viele der Konkurrenten von Luca über die Geschwindigkeit der Vergabeverfahren und die fehlenden Ausschreibungen. In Mecklenburg-Vorpommern prüft nach der Beschwerde eines konkurrierenden Anbieters die Vergabekammer derzeit, ob die Richtlinien eingehalten wurden.

In Thüringen, wo Luca bereits in verschiedenen Modellregionen getestet wird und ebenfalls als einheitliche Lösung im Gespräch war, hat die Landesregierung dagegen umgesteuert und gab vergangene Woche bekannt, eine offene Schnittstelle zu den Gesundheitsämtern bereitstellen zu wollen. Mit dieser könnten auch andere Systeme zu Kontaktdatenerfassung an die Ämter andocken. „Finanzministerin Heike Taubert konnte die Landesregierung davon überzeugen, von den bisherigen Plänen zur Beschaffung einer einzigen App-Lösung zur Gäste-Registrierung Abstand zu nehmen“, schreibt das Ministerium in einer Pressemitteilung.

Taubert verweist in der Mitteilung auch auf die Angemessenheit des Preises: „Zumal im Gegenzug Lösungen angeboten werden, die zum einen wesentlich kostengünstiger und zum anderen für erheblich kürzere Zeiträume, beispielsweise monatlich, abgeschlossen werden können“.

Update 14.4.: Wir haben Zahlen aus Rheinland-Pfalz in der Übersicht der Kosten ergänzt und die Überschrift entsprechend der Gesamtsumme angepasst.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs
Inhalt abgleichen