Stalking via Smartphone: How security researchers are working to expose stalkerware on your phone - 26 Juni, 2020 - 21:41

This article deals with gender-specific violence. We would like to remind you that the browser history can be monitored and tracked on your devices – including this story. If you suspect that you are being monitored and need help, please contact an organization close to you. Further information and a list of resources can be found on the website of the Coalition Against Stalkerware.

Sometimes technology, even the cheap kind, can become a weapon. Stalkerware is proof of this. The apps are easy to find on the internet, cost only a few euros per month and are perfect for monitoring another person around the clock. Where was she? Who was she exchanging messages with? What websites did she visit and what passwords were used? The app turns the mobile phone into a bug that relays everything you entrusted to it – even encrypted chats can be read. A tool for total surveillance.

Stalkerware becomes a major problem in connection with domestic violence. But people looking to detect and uninstall such programs on their smartphone are looking at a difficult task. Most apps are quite good at hiding their presence. They don’t show up on the display at all, or if they do, then only under unsuspicious aliases such as „Wifi Check“.

On the trail of the spy software

The programs still leave traces though. Security researcher Etienne Maynier, also known online as Tek, has taken the trouble to follow these traces and document them. In an archive on GitHub, he has published a number of clues that reveal the presence of some of the most common spyware programs for Android devices.

The archive contains a list of web domains that the apps regularly contact. Stalkerware apps always forward the stolen information to a server, where it can be easily viewed by the stalker. Maynier also lists the names of the various package files and the associated hash values, a kind of digital fingerprint that can be used to check whether two files are identical. Antivirus programs use this to search for malware on phones.

Maynier lives in Berlin and works in his day job for Amnesty International, where he analyses the digital surveillance of human rights activists. He deals with stalkerware in his spare time, he tells on the phone. In France, where he is from, he is currently trying to start an organization with a circle of feminist activists, which supports women’s shelters and advice centres with tools and knowledge. It’s called ECHAP, like the escape key on French keyboards.

The problem is violence

By publishing the data traces, Maynier wants to bring other security researchers on board. The data should make it easier for them to find stalkerware on devices or to delve deeper into the subject matter, says Maynier. His list is anything but complete, he stresses. So far it contains around 50 programs, including notorious apps such as mSpy, HelloSpy or FlexiSpy. They are the ones whose code he has been able to get his hands on, mostly by downloading them via a hidden link. He did not want to buy the apps – for ethical reasons.

At the same time, Maynier is aware of the limits of his technological approach. „What I have published can be useful,“ he says, but it doesn’t get to the root of the problem. „The problem is not stalkerware, the problem is violence against women and violence in partnerships. And until we solve that, we won’t be able to do much with technology.“

He said it is an occupational hazard of his industry that everybody wants to work on new and cool problems. Stalkerware is one of those areas that arouses the hunting instinct. But he is afraid that security researchers will lose sight of the true problem.

Kidnapped accounts

For the reality of spying in a partnership is often much more mundane. You don’t have to be a hacker to read the mails or chats of a partner. Especially for people who are close it is often much easier to guess a password or to force it from the other person as a proof of trust. Researchers report that it is often a mixture of stalkerware and such kidnapped accounts, that are used to monitor and terrorize victims. However, there is little applause for resetting account passwords. „Everybody wants to work on stalkerware,“ Maynier says, „but it would probably be more important to help victims reset their GMail passwords.“

The focus on stalkerware may also obscure the view, he fears, on all the other apps and functions that come pre-installed on every phone and can also easily be abused for illegal stalking – from Google Maps to the various „Find My Phone“ features.

Android as the „Wild West“ of stalkerware

Maynier’s toolbox only lists apps for the Android operating system. Eva Galperin, Director of Cybersecurity at the Electronic Frontier Foundation, calls the „ecosystem“ of Android the „Wild West“ of stalkerware. There are examples of individual apps slipping through the mesh of Apple’s ITunes store and the Google Play Store and being officially available for download there – even though they violate the rules. Usually these packages end up on a smartphone via detour though. Galperin reports this at a briefing organized by German think tank Stiftung Neue Verantwortung.

Older Android phones are particularly susceptible, says Galperin. „This worries me, because it means security is for rich people.“ A luxury for those being able to afford an IPhone or a Pixel. What about the rest?

Galperin started a worldwide initiative last year, the Coaltion Against Stalkerware. Organizations from Germany such as Weißer Ring or the Bundesverband Frauenberatungsstellen (bff) are also involved.

She does not want to spend her time hunting down the suppliers, says Galperin. The vendors often hide behind straw companies and in „legally unresponsive“ states. „I want to make it harder for her to do her job.“

Uncovering the apps instead of chasing companies

That is why the focus of Galperin’s initiative is primarily on detection. The goal: anti-virus programs should detect stalkerware just as reliably as other malware. Vendors could then continue to sell the apps. Perpetrators could still buy and install them – but the apps would be useless, they could no longer hide. The market would go down the drain.

Maynier’s toolbox with telltale traces can also help, because security researchers can use them as a starting point to bring the apps to light. But no matter how good the technical solutions are in the end, they won’t solve the problem as long as gender-specific violence is not the focus, Maynier warns. In other words: the people affected are often in a violent relationship, stalking is part of the violence and in itself violence. The biggest challenge: „Everything you do can endanger those affected – even finding and removing the apps“. Researchers like Galperin and Maynier know this, that’s why they work with experts for gender-based violence.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Wochenrückblick KW 26: Angriffe und Attacken auf alle - 26 Juni, 2020 - 18:00

Die Kontaktbeschränkungen werden immer mehr gelockert, wir bleiben aber vorerst im Homeoffice und arbeiten vereinzelt immer wieder auch mal im Büro. Während es draußen Sommer wird, sitzen wir fleißig an den Transparenzberichten, die über die Coronazeit liegen geblieben sind. Diese Woche haben wir uns immerhin bis zum April vorgearbeitet. Fazit des Monats: Schade, dass in diesem Jahr der erste April ausgefallen ist, schön, dass ihr uns weiter unterstützt.

Das gibt uns ausreichend Raum, auch tiefer zu recherchieren. So hat Daniel Laufer sich in dieser Woche gefragt, wie es sein kann, dass zwei junge Männer Millionenschäden durch DDoS-Attacken verursachen können. Er hat die Geschichte des 16- und des 20-Jährigen recherchiert und für uns aufgeschrieben.

Noch mehr Angriffe

Um Angriffe auf die Privatsphäre geht es bei billigen Smartphone-Apps, die es ermöglichen, Menschen auszuspionieren. Sie werden von Stalkern benutzt und verletzen massiv die Grundrechte der Opfer. Das große Problem dabei ist, dass die Programme nur schwer auffindbar sind. Sicherheitsforscher:innen entwickeln Strategien, um solche Spionageapps zu enttarnen.

Auch deutsche Behörden würden gerne mehr hacken. Dazu lassen sie manche Sicherheitslücken bewusst offen – obwohl ein Staat eigentlich darauf aus sein sollte, alle möglichen Schwachstellen so schnell wie möglich zu schließen. Die Bundesregierung arbeitet gerade aus, wie mit einzelnen Schwachstellen umgegangen werden soll. Abgeordnete haben nachgefragt, zu den meisten Fragen schweigt die Regierung. Wir veröffentlichen die Antworten.

Gesetzgebung in progress

Das Urheberrecht soll an das digitale Zeitalter angepasst werden. Dazu hat das Justizministerium in dieser Woche einen Diskussionsentwurf für ein neues Urheberrecht vorgestellt. Darin steht auch, dass die umstrittenen Uploadfilter kommen werden. Wir haben uns den Entwurf angeschaut.

Dazu haben sich auch andere Ministerien schon geäußert. Vor allem das CDU-geführte Wirtschaftsministerium und das Kanzleramt verlangen Änderungen, die in erster Linie Urheber:innen schaden würden. Wir haben die Änderungsvorschläge, die den Schutz von Kreativen, Wissenschaft und Bildung angreifen, veröffentlicht.

Schon seit zwei Jahren arbeitet die Bundesregierung an einem neuen IT-Sicherheitsgesetz. Den Entwurf dafür haben wir bereits vergangene Woche veröffentlicht. Unser Gastautor Sven Herpig hat sich den bisherigen Gesetzestext angeschaut und findet, dass man daraus mehr hätte machen können. Vielleicht gar nicht so schlecht, dass trotz hoher Priorität und wiederholter Ankündigungen bisher noch nicht viel daraus geworden ist, schreibt er.

Unter Beobachtung

Ein anderes Gesetz, an dem die Bundesregierung gerade arbeitet, ist das Telekommunikationsgesetz. Obwohl es unzählige Gerichtsurteile gibt und Probleme mit der EU-Kommission drohen, hat die Regierung anlasslose Massenüberwachung in die neuen Gesetze aufgenommen.

Immerhin eine starke rechtliche Regelung ist die Datenschutzgrundverordnung, die jetzt schon seit zwei Jahren gilt und weltweit als Vorbild betrachtet wird. Und trotzdem: Gegenüber den großen Unternehmen wie Google oder Facebook mangelt es an konsequenter Durchsetzung. Wir haben uns angeschaut, welche Schwachstellen die EU-Kommission sieht.

Gegen geltendes Recht verstoßen hat Facebook. Der Bundesgerichtshof hat in dieser Woche geurteilt, das Unternehmen beute seine Nutzer:innen aus und führe Daten rechtswidrig zusammen.

Für gesetzliche Grundlagen scheint sich auch die britische Polizei nicht zu interessieren – immer wieder  speichert sie zu viele Handydaten und das auch noch zu lange. Nach massiver Kritik nimmt sich endlich die Datenschutzbehörde des Problems an.

Internet für alle

Gleiches Internet für alle ist eine netzpolitische Grundforderung. Mit der Einführung des neuen 5G-Mobilfunkstandards hätte die Netzneutralität allerdings erheblich geschwächt werden können. Dem haben neue Leitlinien jetzt einen Riegel vorgeschoben und es wird auf absehbare Zeit kein Zwei-Klassen-Internet geben. Yay!

Wenn man sich nicht physisch treffen kann, sind virtuelle Konferenzen eine Notlösung. Wir haben in der Zeit der Corona-Krise berichtet, wo die Schulministerien an der Bereitstellung von Infrastruktur von Videokonferenzen scheitern und wo Projekte gut funktionieren. Zu letzteren gehört die Jitsi-Instanz der Münchener Freifunker:innen. Bis zu 1.700 Menschen können auf ihrem Serververbund gleichzeitig online sein. Wir haben mit den Betreiber:innen gesprochen.

Doch obwohl sie wichtige Infrastruktur bereitstellen, sind Freifunker nicht überall beliebt: Immer wieder werden private Anschlussinhaber beschuldigt, das Urheberrecht zu verletzen. Das zeigen einmal mehr neue Urteile, die von Betreibenden Nachforschungen und Datensammlungen verlangen. Eigentlich ist im Gesetz eine eindeutige Regelung festgeschrieben – diese Rechtssicherheit höhlen die Urteile gegen Freifunker allerdings immer weiter aus.

Schluss mit lustig

Eine Kolumne in der taz hat diese Woche die Gemüter bewegt – und den Innenminister Horst Seehofer zur inzwischen wieder zurückgezogenen Ankündigung einer Strafanzeige. In der aufgeblasenen Debatte scheint Seehofer jedes Mittel recht, um die Debatte über Rassismus und Polizeigewalt zu beenden, kommentiert Markus Reuter. Denn im Kern ist es vor allem ein Angriff auf die Pressefreiheit, wenn der Innenminister mit einer Strafanzeige gegen eine einzelne Journalistin droht.

Auch sonst in der Welt sieht es nicht so viel besser aus. In der vergangenen Woche haben wir bereits von den neuesten Ambitionen der Trump-Regierung berichtet, die den Open Tech Fund gefährden. Damit ist die Unterstützung für viele Verschlüsselungs- und Anonymisierungswerkzeuge bedroht. Jetzt sind Deutschland und Europa in der Verantwortung, kommentieren Constanze Kurz und Frank Rieger. Den Text gibt es hier auch auf Englisch.

In Brasilien soll das „schlechteste Internetgesetz der Welt“ beschlossen werden. Beworben wird es damit, Fake-News zu bekämpfen. Tatsächlich ist es eines der härtesten Überwachungsgesetze, das Meinungsfreiheit und Privatsphäre zerstört, Menschen aus dem Internet ausschließt und dezentrale Strukturen gefährdet.

Schluss mit Rassismus, das fordern Mitarbeitende von US-amerikanischen Tech-Unternehmen. Bei Google etwa verlangen mittlerweile mehr als 1.600 Mitarbeiter:innen, dass strukturelle Diskriminierung nicht nur verbal verurteilt wird, sondern auch tatsächlich Handlungen folgen. Das heißt für sie: Keine Software mehr für die Polizei.

Lichtblicke der Transparenz

Doch es gibt auch Lichtblicke, beispielsweise wenn es um freies Wissen geht. Auch wenn Bibliotheken mitunter mit verstaubten Bücherregalen verbunden werden, setzen sich viele in einer digitalen Welt durch und arbeiten mit Open Data und Open Source. Die Uni-Bibliothek Leipzig hat eine neue Plattform, auf der ihre digitalen Angebote sichtbar werden sollen.

Offener werden will jetzt auch der Brandenburger Landtag und hat beschlossen, dass Parlamentsdokumente in Zukunft als Open Data veröffentlicht werden sollen. So sollen vor allem rechtliche Grauzonen geklärt werden, doch der Teufel steckt im Detail. Details zu Urheber- und Nutzungsrechten sollen Verwaltung und Landtagspräsidium jetzt ausarbeiten.

Und damit wünschen wir euch ein schönes Wochenende.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Pur-Abos im Test: Nicht ganz ohne - 26 Juni, 2020 - 15:00

Matthias Eberl ist Journalist, Dozent und Datenschützer. Er bloggt bei

Vor einigen Monaten haben zwei der wichtigsten deutschen Nachrichtenportale nach dem Vorbild des österreichischen Standard ein sogenanntes Pur-Abo eingeführt. Damit können Leser die Website größtenteils ohne Werbung und ohne Werbetracking lesen.

Gute Gründe für das Modell „Geld statt Daten“

Die Nachfrage nach werbe- und trackingfreien Nachrichten sei gestiegen. So begründen der Spiegel und die Zeit die Einführung ihrer Pur-Abos. Das stimmt sicher, aber ein wichtiger Grund ist auch die neue Auslegung der Datenschutzgrundverordnung (DSGVO), die gerade nochmals vom Europäischen Datenschutzausschuss bestätigt wurde: Verhaltensbasierte Werbung, die für die Verlage eine wichtige Einnahmequelle bildet, ist nur dann zulässig, wenn die Benutzer freiwillig eingewilligt haben. Und freiwillig bedeutet, dass eine gleichwertige Alternative besteht.

Daraus folgt wiederum, dass neben dem kostenlosen Zugang auch die Option bestehen muss, die Website ohne die einwilligungspflichtige Datenverarbeitung zu besuchen. Dabei ist den Verlagen nach der vorherrschenden Rechtsmeinung erlaubt, den ungefähren Gegenwert der Werbeeinnahmen von den Nutzerinnen und Nutzern der Seite zu verlangen. Kein Verlag soll gezwungen werden, seine Inhalte unter Wert herauszugeben. Für das Modell „Geld statt Daten“ gibt es also auch einen guten rechtlichen Grund.

Die Einwilligunsboxen sind zwar nervig, aber offenbar war das der beste Kompromiss zwischen Datenschutz und ökonomischen Interessen. Nach Ansicht des Verlegerverbandes BDZV sind Bezahlinhalte in den vergangenen Jahren immer selbstverständlicher geworden. Das datenschutzfreundliche Abo könnte es also in Zukunft öfters geben.

Den Abschied von einem umfangreichen kostenlosen Nachrichtenangebot muss dabei niemand befürchten: Verhaltensbasierte Werbung ist ein stabiles Geschäft. Nur der Datenschutz bleibt dabei ziemlich auf der Strecke, weil Leseverhalten und Interessen in teilweise geräteübergreifenden Profilen gespeichert werden.

Die Daten werden meist in Echtzeit an große Werbenetzwerke gesendet und für Anzeigen ausgewertet, vor allem über das von Google angeführte Real Time Bidding. Aber auch Facebook oder Adobe erhalten von den Verlagen große Datenmengen, die profilbezogen gespeichert werden. Aus diesen Daten entstehen die Zielgruppen der Werbetreibenden.

Mit Einwilligung und Pur-Alternative haben die drei Verlage ein Modell umgesetzt, das Datenschutz und kostenloses Angebot aufspaltet, so dass jeder die Wahl hat. Fast alle anderen privatwirtschaftlichen Verlage von FAZ bis taz geben den Nutzern keine Alternative. In unserem Test schauen wir zuerst auf Spiegel, dann auf die Zeit und am Ende auf den österreichischen Standard.

Der Spiegel: Nicht ganz ohne

Der Spiegel verspricht seinen Lesern ein weitgehend werbefreies Angebot, das „ganz ohne Werbetracking“ auskommen soll. Nur eine interne, allgemeine Nutzungsanalyse soll noch durchgeführt werden, erfährt man bei der Registrierung.

Klingt gut, aber während man das liest, wird man schon von Bing, Facebook und Google getrackt. Die Einbindungen sind für sogenanntes Retargeting gedacht: Ein Interessent, der nicht „konvertiert“, also keinen Vertrag abschließt, kann dann auf diesen Plattformen – zum Beispiel in seinem Facebook-Stream – persönlich neu beworben werden. Der Spiegel bestätigte uns, dass man „im Rahmen der Registrierstrecke“ auch beim Pur-Abo Daten für Retargeting an Facebook sende, aber nicht im „redaktionellen“ Bereich des Pur-Abos. Allerdings setzt sich das Tracking fort: Auch bei allen weiteren Anmeldungen erfährt Facebook von meinem erfolgreichen Login.

Schon bei der Registrierung ist das Versprechen „werbetrackingfrei“ dahin (hier Spiegel). CC-BY-NC 4.0

Damit ist das Abo nicht mehr werbetrackingfrei. Auch wenn der Spiegel keine Werbung für Pur-Abonnenten in deren Facebook-Stream schaltet: Facebook nutzt diese Daten auch für andere Werbekunden. Und auch die DSGVO-Konformität ist damit dahin: Facebook Pixel ist ohne Einwilligung natürlich auch außerhalb des redaktionellen Angebots ein Datenschutzverstoß, unter anderem weil dadurch externe Seitenaufrufe mit ihrem Profil bei Facebook verknüpft werden können.

Jede Anmeldung wird von Google Analytics (Zeit) und Facebook (Spiegel) registriert. Flott und ablenkungsfrei

Im laufenden Betrieb laden die Seiten dann angenehm flott und sind ablenkungsfrei zu lesen. Werbeanzeigen waren im Test keine zu sehen. Bei den Drittanbieter-Einbettungen sind vor allem Content-Provider nachvollziehbar, die Bilder oder Videos schnell und günstig ausliefern können. Sie erhalten keine Cookies oder andere Nutzerdaten. Außerdem wird jeder Seitenaufruf an gemeldet, der in Deutschland üblichen Reichweitenmessung. Dahinter steht Infonline, eine von Verlegerverbänden getragene GmbH. Die Verlage können damit ihre Online-Nutzungszahlen in einer standardisierten Form vergleichen, der Spiegel hält diese Analyse für geschäftskritisch und unverzichtbar, wie ein Sprecher gegenüber mitteilte. Man kann dagegenhalten, dass beim Print-Abo auch nicht jeder gelesene Artikel registriert wird. Wer bei der Reichweitenmessung nicht teilnehmen will, kann aber ein Opt-Out-Cookie direkt bei Infonline setzen lassen. Eine freiwillige Teilnahme oder ein direkter Opt-Out über das Nutzungsprofil wäre für besonders kritische Kundschaft sicher die bessere Lösung.

Profilbildung unter Tarnnamen

Weniger nachvollziehbar werden die zahlenden Nutzerinnen und Nutzer es finden, dass der Spiegel zusätzlich eine recht umfangreiche profilbildende Nutzungsanalyse integriert hat. Für das Kundentracking wird Adobe Analytics genutzt und für die Zielgruppengenerierung Adobe Audience Manager. Beides sind Bestandteile der Adobe Experience Cloud, eine führende Marke für profilbildendes Marketing. Grundsätzlich können damit Verhaltensprofile erstellt und vermarktet werden, es gibt sogar einen eigenen, eingebetteten Marktplatz für solche Daten. Damit gibt es beim Spiegel keine technische Sicherheit, dass die Daten nicht angereichert, verkauft und für Marketing verwendet werden. Die Nutzungsanalysen werden unter erhoben. Dieser Server gehört zu Adobe, ist aber mit einem zweifelhaften Trick namens „CNAME-Cloaking“ auf der Spiegel-Domain registriert, damit der Browser den Drittanbieter nicht sperren kann: Der Pur-Abonnent kann diese Datensammlung nur mit einer gut gepflegten Sperrliste von Tracking-IPs oder durch manuelle Konfiguration verhindern.

Der Adobe-Server erhält bei jedem Seitenaufruf die dauerhafte Abo-ID, so dass das Leseverhalten lückenlos in einem Profil erfasst wird. Über diese pseudonyme Profilbildung wird nicht aufgeklärt. Spiegel behauptet in Bezug auf Adobe: „Durch die Anonymisierung werden keine personenbezogenen oder pseudonymen Daten gespeichert.“ Nur in einem etwas versteckten Beitrag im Spiegel-Service war die pseudonyme Profilbildung bei Adobe nachzulesen. Spiegel Online versicherte aber, die Angabe in der Datenschutzerklärung entsprechend ändern zu wollen. Die pseudonymen Daten seien außerdem durch technische Maßnahmen vom Nutzerkonto getrennt. Weder Adobe noch Spiegel-Mitarbeiter könnten das gespeicherte Leseverhalten an die Kontoidentität des Abokunden knüpfen, hieß es vom Verlag.

Das Login verrät dich auch auf anderen Seiten

Neben dem Adobe-Server im Deckmantel von werden noch weitere URLs von Adobe eingebunden. und tragen noch den Namen älterer Trackingfirmen, wurden aber von Adobe aufgekauft. Über die läuft das geräte- und websiteübergreifende Tracking von Adobe: Besucht der Aboleser nach der Lektüre eine andere Seite mit Adobe-Tracking, erkennt Adobe ihn.

Nur mit dem Adobe-Tracking unter wäre das nicht möglich. Der Spiegel nutzt das Feature vermutlich, um den Abo-Leser auf seinen anderen Angeboten (z. B. Bento oder Manager Magazin) wiederzuerkennen, wo er nicht eingeloggt ist. Hier zeigt sich allerdings eine generelle Gefahr von Seiten-Logins und Drittanbieter-Tracking: Adobe erhält durch den Login vom Spiegel ja eine persistente Identität. Mit den Drittanbieter-Einbettungen erkennt Adobe diese wiederkehrende Identität auch auf zahlreichen anderen Seiten und Geräten. Das wird außerhalb von Europa und der DSGVO sogar als Dienst angeboten: Beim sogenannten Co-op-Device-Tracking nutzen die teilnehmenden Unternehmen ihr Wissen über Geräte und Logins gemeinsam.

Ich geb dir meinen Keks, du gibst mir deinen

Und noch ein zweifelhaftes Feature ist beim Spiegel aktiv: Die Cookies der Drittanbieter werden auf anderen Seiten mit weiteren Trackinganbietern zum ID-Abgleich ausgetauscht, das nennt sich Cookie-Matching. Es reicht bereits ein Klick auf einen Artikel auf dem Schwesterportal Bento, damit Cookies aus der vorherigen Pur-Sitzung an den fremden Anbieter Teads gingen. Das läuft über Aufrufe an Zu diesem Dienst schreibt Adobe:

Bei der ID-Synchronisierung werden durch den ID-Dienst zugewiesene IDs mit von unseren Kunden zu Sitebesuchern zugewiesenen IDs abgeglichen. Angenommen, der ID-Dienst hat eine Besucher-ID 1234 zugewiesen. Eine andere Plattform kennt diesen Besucher mit der ID 4321. Der ID-Dienst ordnet diese IDs während des Synchronisierungsprozesses zusammen.

Cookie-Matching ist aktiv: Ein Tracking-Cookie von Adobe wird auf vielen weiteren Websites mit anderen Anbietern synchronisiert.
CC-BY-NC 4.0

Das ermöglicht einen serverseitigen Datenaustausch – zum Beispiel auf dem erwähnten Profil-Marktplatz. Dieser findet nicht mehr im Browser statt und kann daher nicht mehr überprüft werden. Es ist äußerst fragwürdig, was eine solche Einbettung in einem werbetrackingfreien Abo macht. Der Spiegel bestätigte auf Nachfrage, dass diese Funktion eingebunden und vorhanden ist, betonte aber, dass sie im Pur-Abo ausdrücklich nicht zum Teilen von Profilidentitäten mit anderen Adobe-Kunden genutzt werde.

Das Pur-Abo in der Spiegel-Online-App auf Android

Das Spiegel-Abo lässt sich auch über die App nutzen. Dabei kann man sich nicht nur über die fehlende Werbung freuen, sondern auch über mehr Datenschutz: Die getestete Android-App nutzt vorwiegend den internen Browser des Smartphones – und der kapselt die Sitzung in einer „Sandbox“ ab. Adobe kann das Leseverhalten eines Profils also nur noch auf der Spiegel-Seite dauerhaft tracken. Werbetracking in der App (über hinzugefügte Module, sogenannte SDKs) fanden sich bei der Spiegel-Online-App nicht. Nur ein Modul von Infonline registriert das Gerät beim ersten Start mit Android Werbe-ID oder einer anderen dauerhaften Geräte-ID (vermutlich zur Abwehr von Reichweitenbetrug).

Das Pur-Abo der Zeit: inklusive Google Analytics

Die Zeit meint mit „pur“ ein Abo mit „weniger Werbung und ohne Werbetracking“. „Insbesondere Tracking-Verfahren, die es Werbekunden erlauben, bestimmte Teilzielgruppen anzusprechen, sogenanntes Targeting, stehen in der Kritik“, schreibt die Zeit in ihrer Pur-FAQ. Und meldet gleichzeitig den Aufruf dieser Seite mit Google-Analytics-ID und weiteren Parametern wie Bildschirmgröße an Google. Bei der Registrierung, beim Login und bei jedem Seitenaufruf ist das Trackingtool eingebunden. Und diese Daten kann Google für eigene Zwecke nutzen, auch zur Ausspielung von personalisierter Werbung.

Neben anderen Gründen darf Google Analytics deshalb nicht mehr ohne Einwilligung genutzt werden, wie auch der Bundesdatenschutzbeauftragte Ulrich Kelber vor einigen Monaten betonte. Damit ist auch das Pur-Abo der Zeit nicht mehr komplett werbetrackingfrei und verstößt gegen die DSGVO. Die Verlagssprecherin teilte zu diesem Punkt auf Anfrage mit, man sei grundsätzlich von der datenschutzrechtlichen Konformität des neuen Pur-Angebots überzeugt. Solche sich verändernden Rahmenbedingungen werde man kontinuierlich überprüfen und gegebenenfalls ändern.

Ungewohnt schnelles und schönes Leseerlebnis

Im Betrieb auch hier: Ohne Werbung ist die Zeit ein ungewohnt schönes und schnelles Leseerlebnis. Ein Clouddienst von Google liefert auf der Startseite eine interaktive Stimmungsanalyse aus. Hier hätte die IT technisch etwas strenger hinschauen sollen: Die im Sitzungscookie codierte E-Mail des Abonnenten geht versehentlich auch an den fremden Server (der damit aber nicht viel anfangen dürfte). Darüber hinaus erhalten die Content-Hoster aber keine Cookies oder Parameter.

Auch die Zeit meldet jeden Seitenaufruf für die vergleichbare Reichweitenmessung an die von Verlagen gemeinsam getragene Infonline GmbH. Die Reichweiten sind artikelgenau und nutzen eine technisch absichtlich abgeschwächte Fingerprinting-Methode, um Nutzer mit einer gewissen, aber nicht perfekten Wahrscheinlichkeit ohne Cookies wiederzuerkennen. Auch hier wäre eine freiwillige Teilnahme oder ein direkter Opt-Out im Aboprofil die bessere Lösung als das angebotene Opt-Out bei Infonline.

Profilbildung mit der Ever-ID

Für das allgemeine Tracking wird bei der Zeit der US-Anbieter Mapp eingesetzt, der vor kurzem die deutsche Trackingsoftware Webtrekk übernommen hat. Der Schwerpunkt dieser Software liegt, anders als bei der Adobe Experience Cloud, auf internen Nutzungsanalysen. Wieder findet sich der CNAME-Trick: Mapp erstellt die Profile unter der Domain, um die üblichen Mechanismen gegen Trackingschutz auszuhebeln. Die Analyse ist ebenfalls profilbildend: Die sogenannte Ever-ID „wteid“ erfasst die Artikelaufrufe eines Abonnenten in einem lückenlosen Profil. In der Datenschutzerklärung wird darauf nicht hingewiesen, zu Webtrekk wird behauptet, das sei eine „anonymisierte statistische Auswertung des Nutzerverhaltens“. Pseudonymisierte Profildaten würden nur mit Einwilligung oder bei vertraglicher Verpflichtung erhoben werden. Die Zeit versprach dazu auf Nachfrage, dies zu prüfen und die Datenschutzerklärung gegebenenfalls dahingehend zu schärfen.

Auch bei der Zeit ist der Trackingdienst nicht nur über die Tarnadresse, sondern zusätzlich über eine externe URL ( eingebunden. Eine Leserin sendet dorthin das gleiche Cookie, das auch andere Seiten von ihr erhalten (z. B. Das theoretische Problem auch hier: Besucht die Abonnentin nach der Lektüre eine andere Seite mit Mapp-Einbindung, kann Mapp sie dort als diese Abonnentin wiedererkennen, weil die Ever-ID aus dem Abo mit dem kurzfristigen externen Cookie von gemeinsam auftrat. In der Praxis wird diese Funktion bei Webtrekk aber über eine andere Einbindung erreicht ( Diese „Cross Device Bridge“ ist bei der Zeit nachweislich nicht aktiv, so dass nachvollziehbar ist, dass das Tracking über Mapp auf eine internen Nutzungsanalyse beschränkt ist. Die Zeit wollte sich nicht konkret zu der eingesetzten Drittanbieter-URL erklären.

Erfreulich ist, dass das auf allen Seiten eingebundene Google Analytics immerhin nicht über die Login-Identität unterrichtet wird (möglich wäre das). Mit anderen Worten: Ein wiederkehrender Abo-Leser wird nach gelöschten Cookies von Google als andere Identität wahrgenommen, auch wenn er sich wieder einloggt.

Aber auch in diesem Pur-Abo wird ein Datensatz angehäuft, den man nicht so leicht loswird: Man müsste den mühsamen Weg eines Löschantrags nach der DSGVO gehen, um die Datensammlung von seinem Profil zu lösen. In der kostenlosen Variante startet man hingegen nach dem Löschen seiner Cookies bei den zahlreichen Werbevermarktern normalerweise wieder als leeres Blatt (bis man sich irgendwo einloggt).

Das Pur-Abo in der Zeit-Online-App (Android)

Auch das Zeit-Abo lässt sich über die App nutzen, was ebenfalls einen zusätzlichen Vorteil hat: Neben der fehlenden Werbung kann auch Mapp das Leseverhalten nicht mehr websiteübergreifend tracken, es gibt keine Verbindungen mehr zu Besuchen bei anderen Websites oder anderen Apps. Auch hier eine Ausnahme: Das Unternehmen Airship wird offensichtlich für Push-Nachrichten eingesetzt, erfährt dadurch aber den Start und das Ende der App-Nutzung mit einer bei der Installation festgelegten ID. Das ist im Vergleich zu anderen Apps eine relativ harmlose Datenweitergabe. Ein Hinweis in der Datenschutzerklärung hätte nicht geschadet.

Das Pur-Abo von Wirklich ganz ohne

Die österreichische Nachrichtenseite führte als erstes deutschsprachiges Medium ein werbe- und trackingfreies Abo ein. Und im Vergleich zu den Pur-Abos von Spiegel und Zeit muss man nicht viel dazu schreiben: Es ist in gleicher Weise werbefrei, aber darüber hinaus enthält es wirklich keine einzige Trackingeinbettung. Keine Reichweitenmessung, keine interne Nutzungsanalyse, kein Remarketingtool – auch nicht bei Login oder Registrierung. Der Server sendet nur die eigene Website und bindet dabei externe Content-Hoster ein (die aber keine Cookies oder Nutzerdaten erhalten). So gesehen passt der Name „Pur“ nur für das Abo des Standard. Für Datenschutzinteressierte ist es uneingeschränkt zu empfehlen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

England: Polizei wertet zu viele Handys ohne Gesetzesgrundlage aus - 26 Juni, 2020 - 12:30

Die britische Datenschutzbehörde ICO kritisiert den Umgang von Strafverfolgungsbehörden mit den Smartphones von Opfern in England und Wales. Für den 64-seitigen Untersuchungsbericht (PDF) hatte die Behörde Strafverfolgungsbehörden, zivilgesellschaftliche Gruppen und Opferverbände angehört. Der Untersuchung waren zahlreiche Beschwerden von Einzelpersonen sowie ein Bericht von Privacy International vorausgegangen.

Mobiltelefone speichern heute einen großen Teil unseres Lebens: von Adressbüchern über private Fotos bis hin zu unseren privaten Kommunikationen. Neben diesen oftmals über lange Zeiträume reichenden Daten speichern Telefone aber noch viel mehr: Browserverläufe, Geodaten, genutzte Wifis, Gesundheitsdaten sowie häufig auch die Passwörter und Zugangsdaten ihrer Besitzer:innen. Damit ist das Telefon heute eine der interessantesten Datenquellen für Strafverfolgungsbehörden.

Zuviel extrahiert und gespeichert

Die Untersuchung des ICO ergab, dass die Praktiken der Polizei bei der Extraktion von Daten von Landkreis zu Landkreis unterschiedlich sind, wobei häufig übermäßige Mengen personenbezogener Daten extrahiert und gespeichert werden, ohne dass die bestehenden Datenschutzgesetze dafür eine geeignete Rechtsgrundlage böten.

Viele dieser Daten, die bei der sogenannten „mobile phone extraction“ (MPE) in England und Wales ausgelesen werden, seien nicht notwendig für Ermittlungen, sagt die Datenschutzbeauftragte. Es sei nicht nötig, diese Datenfülle sensibler Informationen routinemäßig abzufragen, insbesondere bei Zeug:innen und Opfern von Verbrechen.

Bei letzteren kommt ein weiteres Problem hinzu: Die Opfer stimmten der Herausgabe ihre Smartphones häufig nur deswegen zu, weil sie sonst fürchten, dass ihr Verhalten einen negativen Einfluss auf den weiteren Verlauf des Falles haben könne.

Eingrenzung gefordert

Die Datenschutzbehörde hat eine ganze Reihe von Empfehlungen aufgestellt. Sie fordert neue, klare Regelungen, an die sich Strafverfolger halten müssen. Dabei geht es vor allem um eine Eingrenzung, welche Daten genutzt werden dürfen und wirklich nötig sind. Die Datenschützer monieren hier eine bisherige Praxis der „übermäßigen Verarbeitung der extrahierten persönlichen Daten“.

Auf der anderen Seite fordert die Behörde, die extrahierten Daten sicher und verschlüsselt zu speichern und Daten, die nicht für einen Prozess benötigt werden, zu löschen.

Privacy International nannte den Bericht „einen Schritt in die richtige Richtung“. Ksenia Bakina von Privacy International sagt: „Angesichts der weit verbreiteten Nutzung von Mobiltelefonen in unserem täglichen Leben und der beträchtlichen Menge an sensiblen persönlichen Daten, die auf ihnen gespeichert sind, muss die Öffentlichkeit wissen, dass es Regeln und Schutzmaßnahmen gibt – andernfalls bleibt es der Polizei überlassen, ihre eigenen Regeln aufzustellen.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Schwachstellen-Management: Der Staat sollte alle IT-Sicherheitslücken schließen. Manche lässt er lieber offen. - 26 Juni, 2020 - 08:20

Mal angenommen, die Schlösser sämtlicher Diesel-Autos haben eine Schwachstelle, mit denen man die Fahrzeuge unbefugt öffnen und wegfahren kann. Und ein deutscher Beamter erfährt von dem Problem. Muss er die Sicherheitslücke melden und beseitigen lassen, damit Kriminelle auf der ganzen Welt nicht millionenfach Autos stehlen? Oder darf er das geheim halten, weil sein Arbeitgeber vielleicht mal einen Schlüssel für einen Firmenwagen verlieren könnte und dann wäre das ja ganz praktisch?

Das klingt absurd, ist es aber nicht. So gehen deutsche Behörden mit Sicherheitslücken in Hard- und Software um. Das Bundeskriminalamt hat zugegeben, Schwachstellen nicht an Hersteller zu melden, um sie für Hacking-Angriffe ausnutzen zu können. Im schlimmsten Fall überwacht die Polizei einen Drogendealer per Staatstrojaner, während mit der selben Lücke der Bundestag gehackt wird. Dem US-Geheimdienst NSA ist das mit mit der Schadsoftware WannaCry passiert.

Behörde für IT-Sicherheit

In Deutschland ist eine eigene Bundesoberbehörde zuständig für IT-Sicherheit: das Bundesamt für Sicherheit in der Informationstechnik. Das BSI erforscht und erhält Sicherheitslücken und meldet diese an die Hersteller, damit sie geschlossen werden.

In den letzten fünf Jahren hat das BSI von „rund 550 den Herstellern bis dato unbekannte IT-Sicherheitslücken“ erfahren und gemeldet. Das antwortet das Innenministerium auf eine Frage des FDP-Bundestagsabgeordneten Konstantin Kuhle, wir veröffentlichen die Antwort.

Das BSI betont in der Öffentlichkeit, nur für defensive Sicherheit zuständig zu sein. Das ist aber nicht die ganze Wahrheit. Vor fünf Jahren haben wir enthüllt, dass die Bonner Behörde auf Anweisung des Innenministeriums bei der Programmierung des Staatstrojaners geholfen und Quellcode beigesteuert hat. Öffentlich hat das BSI diese Beteiligung abgestritten – das war gelogen.

Behörde und IT-Sicherheit

Im BSI-Gesetz ist geregelt, dass das Bundesamt Informationen über Sicherheitslücken erhält, sowohl von Forschern als auch anderen Behörden, um die Lücken zu melden und zu schließen. Das BSI kann Schwachstellen aber auch an Polizei und Geheimdienste weitergeben, und diese Behörden dürfen die Lücken ausnutzen.

Für diesen Artikel haben wir das BSI erneut gefragt, ob die Behörde schon einmal eine Schwachstelle an Polizei oder Geheimdienste gegeben hat, bevor sie geschlossen wurde. Ein Sprecher hat mit dem selben Standard-Satz wie letztes Mal geantwortet: „Das BSI disktutiert regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können“.

Das wissen wir, deshalb haben wir gefragt, was außerhalb der Normalität und bis zum Patchen der Lücken passiert. Auf diese konkrete Nachfrage haben wir auch dieses Mal keine Antwort bekommen.

Behörden gegen IT-Sicherheit

Mittlerweile dürfen eine ganze Reihe deutscher Behörden hacken und dafür Sicherheitslücken ausnutzen. Der BND hat seit mindestens 2007 eine eigene Hacker-Einheit. Die Bundeswehr hat 2015 ein ganzes Mobilfunk-Netz gehackt. Das BKA darf seit 2009 Staatstrojaner einsetzen. Seit drei Jahren dürfen sämtliche Polizeibehörden hacken, zudem wurde eine eigene Hacker-Behörde gegründet. Erst letzte Woche haben wir einen Gesetzentwurf veröffentlicht, der den restlichen 18 Geheimdienste das Hacken erlaubt.

All diese Behörden nutzen Sicherheitslücken aus, obwohl das IT-Sicherheit und öffentliche Sicherheit schwächt. Wie oft der Staat Lücken geheim hält und ausnutzt statt sie zu schließen, ist ein großes Geheimnis.

Die Linke Bundestagsabgeordnete Martina Renner hat dazu eine kleine Anfrage gestellt, aber die interessanten Fragen beantwortet das Innenministerium nicht: Wenn Informationen über Schwachstellen öffentlich werden, könnten sie ja jemand schließen. Sämtliche Fragen zu Zero-Day-Sicherheitslücken, die dem Hersteller unbekannt sind, werden gar nicht beantwortet. Nicht einmal „streng geheim“ darf das Parlament davon erfahren.

Behörden und Sicherheitslücken

Dieser Gegensatz – das BSI meldet Sicherheitslücken und schließt sie, andere Behörden hamstern Sicherheitslücken und halten sie offen – führt immer wieder zu Spannungen. Weil das bisher nicht eindeutig und nicht in einer Gesamtschau geregelt ist, arbeitet die Bundesregierung seit zwei Jahren an einem „Schwachstellen-Management“.

Der Liberale Konstantin Kuhle hat nachgefragt, wie der Umgang mit Schwachstellen geregelt ist und was der Stand dieses Schwachstellen-Managements ist. Die Bundesregierung antwortet, dass sie sich „derzeit inhaltlich mit dieser Thematik auseinandersetzt“ und die Meinungsbildung noch nicht abgeschlossen ist. Deshalb erfährt das Parlament keine weiteren Details.

Nach Informationen von soll das neue Schwachstellen-Management kein Gesetz werden, sondern eine Verordnung. Mit Verordnungen und Erlassen können Regierungsorgane ihnen nachgeordneten Dienststellen Anweisungen erteilen. Solche Rechtsakte müssen nicht vom Parlament beschlossen werden, nicht einmal von der Bundesregierung. Innenminister Seehofer kann alleine eine Verordnung über BSI, BKA, Verfassungsschutz und ZITiS erlassen.

Seit über einem Jahr verhandeln die relevanten Ministerien über den Prozess und die Gremien für ein Schwachstellen-Management. Dazu diskutieren neben dem Innenministerium vor allem das Kanzleramt mit dem BND und das Verteidigungsministerium mit der Bundeswehr. Das Auswärtige Amt ist ebenfalls beteiligt: Wenn Deutschland den anderen 192 Staaten eine Sicherheitslücke absichtlich verschweigt, kann das diplomatische Auswirkungen haben.

Derzeit sieht es nicht nach einer baldigen Einigung aus.

Gift für IT-Sicherheit

Die demokratische Opposition im Bundestag kritisiert das Geheimhalten und Ausnutzen von Sicherheitslücken.

Für die stellvertretende Linken-Vorsitzende Martina Renner sind die Regierungs-Verhandlungen „eine interne Abwägung, welche Sicherheitslücken wie lange offen und angreifbar bleiben sollen. Das gefährdet die IT-Sicherheit aller Nutzer:innen und damit uns alle. Ihren Schutzauftrag haben diese Behörden komplett verfehlt.“

Konstantin von Notz, stellvertretender Vorsitzender der Grünen in Bundestag, kommentiert: „Der Handel mit Sicherheitslücken ist Gift für die IT-Sicherheit und wer mit ihnen hehlt statt sie zu schließen, ist Teil des Problems und nicht der Lösung. Wir brauchen endlich eine Meldepflicht. Eine solche war – auch mit der Union – im Zuge der Jamaika-Sondierungen längst vereinbart.“

Die FDP im Bundestag hat das Offenhalten von Sicherheitslücken letztes Jahr noch abgelehnt. Jetzt äußert sich der innenpolitische Sprecher Konstantin Kuhle differenzierter: „Der Staat darf Sicherheitslücken nur nutzen, wenn er ein transparentes Schwachstellenmanagement einführt, bei dem das Interesse der Sicherheitsbehörden an der Nutzung von Schwachstellen gegen das Interesse der Allgemeinheit an der Schließung von Sicherheitslücken abgewogen wird.“

Das dürfte die Bundesregierung ähnlich sehen. Deshalb arbeitet sie ja genau daran. Bis dahin hacken diverse deutsche Behörden weiter nach den bisherigen Einzelregelungen.

  • Datum: 17. Juni 2020
  • Vorgangstyp: Schriftliche Frage
  • Fraktion: FDP
  • Abgeordneter: Konstantin Kuhle
  • Antwort: Bundesministerium des Innern, für Bau und Heimat

Wie viele, dem Hersteller bis dato unbekannte, IT-Sicherheitslücken wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 bekannt oder gemeldet und wie viele hat das BSI an die Hersteller weitergeleitet?


Seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 wurden dem BSI rund 550 den Herstellern bis dato unbekannte IT-Sicherheitslücken bekannt oder gemeldet. Alle Sicherheitslücken wurden an die jeweiligen Hersteller weitergeleitet.

Darüber hinaus wurden auch im Rahmen der von externen Prüflaboren im Auftrag des BSI durchgeführten Evaluierungen im Rahmen von Zertifizierungen von IT-Produkten produktspezifische Schwachstellen gefunden.

Zwecks Behebung werden diese unmittelbar an den Hersteller des Produkts gemeldet und dem BSI nur in Ausnahmefällen nachträglich als Bestandteil der Prüfergebnisse bekannt.

  • Verschlusssache: Nur für den Dienstgebrauch
  • Datum: 19. Juni 2020
  • Vorgangstyp: Kleine Anfrage
  • Fraktion: Die Linke
  • Antwort: Bundesministerium des Innern, für Bau und Heimat
  • Drucksache: 19/20245
Einsatz von Schadsoftware und Ausnutzen von Sicherheitslücken durch Bundesbehörden Vorbemerkung der Fragesteller:

Seit der Änderung des Bundeskriminalamtgesetzes (BKAG) im Frühjahr 2017 darf das BKA Schadsoftware wie Trojaner bzw. Überwachungssoftware auch präventiv zur sogenannten Gefahrenabwehr im Bereich des internationalen Terrorismus einsetzen. Darüber hinaus steht diese Möglichkeit den Polizeien auch im Zusammenhang mit der Strafverfolgung als repressives Mittel für die Aufklärung „besonders schwerer Straftaten“ zur Verfügung. Auch der Zoll hat inzwischen eine gesetzliche Regelung für den Einsatz von Überwachungssoftware u. a. für die präventive Telekommunikationsüberwachung erhalten. In mehreren Bundesländern (u. a. Bayern, Hessen, Niedersachsen) wurden ebenfalls vergleichbare Regelungen eingeführt. Zuletzt wurde berichtet, dass künftig auch dem Bundesamt für Verfassungsschutz (BfV) der Angriff auf informationstechnische Systeme erlaubt werden soll. Der tatsächliche Umfang des Einsatzes, deren Nutzung sowie der insoweit möglicherweise sogar angerichtete Schaden durch diese Überwachungsmaßnahmen ist völlig ungewiss, da Bundesregierung und Behörden an einer transparenten Information der Öffentlichkeit nicht interessiert sind und stattdessen Sicherheitsbedenken und Geheimhaltungsinteressen zitieren.

Vorbemerkung der Bundesregierung:

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beantwortung gestellter Fragen in der Öffentlichkeit angelegt, soweit parlamentarische Anfragen jedoch Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.

Die Bundesregierung ist nach sorgfältiger Prüfung zu der Auffassung gelangt, dass aufgrund der Schutzbedürftigkeit der erfragten Informationen eine Beantwortung sämtlicher Fragen in offener Form nur teilweise erfolgen kann.

Im Einzelnen:

Die Antworten zu den Fragen 1, 4, 5, 7 und 10 sind in Teilen als VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft. Die erbetenen Auskünfte sind in Teilen geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffenen Behörden des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Die Fragen betreffen zum Teil detaillierte Einzelheiten zu ihren technischen Fähigkeiten und ermittlungstaktischen Verfahrensweisen. Aus dem Bekanntwerden der Antworten könnten Rückschlüsse auf Vorgehensweise, Fähigkeiten und Methoden der Sicherheitsbehörden gezogen werden, was wiederum nachteilig für die Aufgabenerfüllung der durchführenden Stellen und damit für die Interessen der Bundesrepublik Deutschland sein kann.

Deshalb sind die Antworten zu den genannten Fragen gemäß § 2 Absatz 2 Nummer 4 der Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz (VS-Anweisung – VSA) in Teilen als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und werden als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermittelt.

Die Antwort zu Frage 4 wurde „GEHEIM“ eingestuft‚ da die erbetenen Auskünfte Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der Nachrichtendienste des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten der Nachrichtendienste des Bundes stellt für deren Aufgabenerfüllung einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde in zunehmendem Maße zur Ineffektivität der eingesetzten Mittel führen, da Personen im Zielspektrum der Maßnahmen sich auf die Vorgehensweisen und Fähigkeiten der Sicherheitsbehörden einstellen und entsprechend auf andere Kommunikationswege ausweichen könnten. Dies hätte – mit Blick auf das derzeitige Kommunikationsverhalten der im Fokus stehenden Akteure – eine wesentliche Schwächung der den Nachrichtendiensten des Bundes zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung zur Folge.

Dies würde für die Auftragserfüllung der Nachrichtendienste des Bundes erhebliche Nachteile zur Folge haben. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß § 2 Absatz 2 Nummer 2 der VSA „GEHEIM“ eingestuft und werden zur Einsichtnahme in der Geheimschutzstelle des Deutschen Bundestages hinterlegt.

Die Beantwortung der Fragen 2, 3, 10, 16 und 17 berühren in besonders hohem Maße das Staatswohl. Nach Abwägung ist die Bundesregierung zu dem Schluss gekommen, dass auch das geringfügige Risiko ihrer Offenlegung nicht getragen werden kann und deshalb die Fragen hinsichtlich der Nachrichtendienste des Bundes auch nicht in eingestufter Form beantwortet werden können.

Das verfassungsmäßig verbürgte Frage- und Informationsrecht des Deutschen Bundestages gegenüber der Bundesregierung wird durch schutzwürdige Interessen von Verfassungsrang begrenzt, wozu auch und insbesondere Staatswohlerwägungen zählen.

Durch eine Offenlegung der angefragten Informationen würden Einzelheiten zur konkreten Methodik der Nachrichtendienste benannt, die die weitere Arbeitsfähigkeit und Aufgabenerfüllung auf dem spezifischen Gebiet der technischen Aufklärung gefährden würde.

Eine Bekanntgabe von Einzelheiten über angewandte Verfahren im Zusammenhang mit Sicherheitslücken in IT-Systemen und deren Beschaffung würde weitgehende Rückschlüsse auf die Arbeitsweise sowie technischen Fähigkeiten und damit mittelbar auch auf die technische Ausstattung und das Aufklärungspotential der Nachrichtendienste zulassen.

Dadurch könnte die Fähigkeit, nachrichtendienstliche Erkenntnisse zu gewinnen, in erheblicher Weise negativ beeinflusst werden. Die Gewinnung von Informationen durch technische Aufklärungsmaßnahmen ist für die Sicherheit der Bundesrepublik Deutschland und für die Aufgabenerfüllung der Nachrichtendienste jedoch unerlässlich.

Sofern solche Informationen entfallen oder wesentlich zurückgehen sollten, würden empfindliche Informationslücken auch im Hinblick auf die Sicherheitslage der Bundesrepublik Deutschland drohen. Dies betrifft insbesondere die Möglichkeiten zur Aufklärung nationaler und internationaler terroristischer Bestrebungen, bei denen derartige Kommunikationsmittel in besonderem Maße von den beobachteten Personen genutzt werden.

Insofern birgt eine Offenlegung der angefragten Informationen die Gefahr, dass Einzelheiten zur konkreten Methodik und zu aus den vorgenannten Gründen im hohen Maße schutzwürdigen spezifischen Fähigkeiten der Nachrichtendienste des Bundes bekannt würden. Infolgedessen könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf spezifische Vorgehensweisen und Fähigkeiten der Nachrichtendienste des Bundes gewinnen. Dies würde folgenschwere Einschränkungen der Informationsgewinnung bedeuten, womit letztlich der gesetzliche Auftrag der Nachrichtendienste des Bundes (§ 1 Absatz 2 Gesetz über den Bundesnachrichtendienst [BNDG]‚ § 3 Absatz 1 Bundesverfassungsschutzgesetz [BVerfSchG], §§ 1 Absatz 1 und § 14 Absatz 1 Gesetz über den militärischen Abschirmdienst [MADG]) nicht mehr sachgerecht erfüllt werden könnte.

Soweit die Sicherheitsbehörden des Bundes mit polizeilichen Aufgaben Bundeskriminalamt (BKA), Bundespolizei (BPOL) und Zollkriminalamt / Financial Intelligence Unit (ZKA / FIU) von den Fragestellungen betroffen sind, kann die Beantwortung der Fragen 2, 4, 5, 6, 8, 9, 13, 16 und 17 ebenfalls nicht bzw. nicht vollumfänglich erfolgen. Eine Bekanntgabe von Einzelheiten der bei diesen Behörden zur Bekämpfung von Kriminalität und Terrorismus im Rahmen ihrer jeweiligen Zuständigkeit eingesetzten Softwareprodukte für die Bearbeitung und Auswertung von Ermittlungsverfahren würde weitgehende Rückschlüsse auf die technischen Fähigkeiten sowie die taktischen Einzelheiten bzw. Arbeitsabläufe und damit mittelbar auch sowohl auf die derzeitige als auch die geplante technische Ausstattung sowie das Strafverfolgungs- und Gefahrenabwehrpotenzial dieser Behörden zulassen. Diese taktischen Einzelheiten umfassen insbesondere die hier von den Fragestellungen umfassten Methoden zur forensischen Sicherung und Analyse, Umgehung oder Entsperrung von Verschlüsselungen sowie das Einbringen von Software, darüber hinaus auch die Informationen über den konkreten operativen Einsatz entsprechender Software inklusive der Frage über etwaige Alternativen. Durch ein Bekanntwerden der genannten Methoden könnten die Fähigkeiten der Sicherheitsbehörden mit polizeilichen Aufgaben, Erkenntnisse im Wege der technischen Strafaufklärung zu gewinnen, in erheblicher Weise negativ beeinflusst werden, insbesondere, wenn keine ausreichenden Alternativen zu den für die Strafverfolgung und Gefahrenabwehr genutzten Produkten zur Verfügung stehen. Denn Beschuldigte könnten sich somit gezielt eben jener Strafverfolgung und Gefahrenabwehr entziehen, etwa durch Maßnahmen zur Hinderung des Einsatzes der entsprechenden Software.

Dies ist jedoch nicht hinnehmbar, da die Gewinnung von Informationen durch eine IT- bzw. softwaregestützte Strafverfolgung und Gefahrenabwehr notwendig ist aber für die Aufgabenerfüllung dieser Behörden und damit für die Sicherheit der Bundesrepublik Deutschland und bei der Bekämpfung vor allem des Terrorismus, der politisch motivierten sowie der organisierten Kriminalität unerlässlich ist. Sofern solche Informationen entfallen oder wesentlich zurückgehen sollten, würden empfindliche Informationslücken auch im Hinblick auf die Sicherheitslage der Bundesrepublik Deutschland drohen. Dies würde folgenschwere Einschränkungen der Strafverfolgung und Gefahrenabwehr bedeuten, womit letztlich die gesetzlichen Aufträge von BKA – verankert im Grundgesetz (Art. 73 Nr. 10 Grundgesetz [GG], Art. 87 GG) und im Bundeskriminalamtgesetz [BKAG], BPOL (Art. 87 GG sowie Bundespolizeigesetz [BPolG]) und ZKA/FIU (Art. 87 GG, Zollfahndungsdienstgesetz (ZFdG), Geldwäschegesetz (GwG), Unionszollkodex (UZK)) – nicht mehr sachgerecht erfüllt werden könnten.

Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der Informationen sowohl für die Aufgabenerfüllung der Nachrichtendienste des Bundes als auch der Sicherheitsbehörden des Bundes mit polizeilichen Aufgaben nicht ausreichend Rechnung tragen; weil insoweit auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann (vgl. BVerfGE 124, 78 [139]). Schon die Angabe, mittels welcher technischen Produkte die Sicherheitsbehörden z. B. von der Telekommunikationsüberwachung Gebrauch machen, könnte zu einer Änderung des Kommunikationsverhaltens der betreffenden beobachteten Personen führen, die eine weitere Aufklärung der von diesen verfolgten Bestrebungen und Planungen unmöglich machen würde. In diesem Fall wäre ein Ersatz durch andere Instrumente nicht möglich.

Aus dem Vorgesagten ergibt sich, dass die erbetenen Informationen derart schutzbedürftige Geheimhaltungsinteressen berühren, dass das Staatswohl gegenüber dem parlamentarischen Informationsrecht überwiegt. Insofern muss ausnahmsweise das Fragerecht der Abgeordneten gegenüber den Geheimhaltungsinteressen der Sicherheitsbehörden des Bundes zurückstehen.

Bezüglich der Vorbemerkung der Fragesteller weist die Bundesregierung darauf hin, dass weder durch das BKA noch durch eine andere Sicherheitsbehörde des Bundes „Schadsoftware“ zur Durchführung von Ermittlungs- und Präventions- bzw. Aufklärungs-Maßnahmen im Kontext von Fragestellungen der hier vorliegenden Kleinen Anfrage eingesetzt wird.

Die ggf. in Bezug genommenen Softwarelösungen zur Durchführung von Maßnahmen der Informationstechnischen Überwachung durch die Sicherheitsbehörden des Bundes entsprechen den geltenden rechtlichen Rahmenbedingungen. Daher ist der Begriff „Schadsoftware“ hierfür unpassend bzw. irreführend.

Frage 1:

Wie oft gebrauchte das BKA seit dem 01.06.2017 seine Befugnisse gemäß den §§ 20h, 20k, 20l Absatz. 2 BKAG a.F. bzw. §§ 46, 49, 51 Absatz 2 BKAG n.F. (bitte nach Norm, Jahr und Zahl der je Betroffenen aufschlüsseln)?

Antwort 1:

Es wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung verwiesen.

Antwort 1 (VS-NfD):

Das Bundeskriminalamt (BKA) hat seit dem 1. Juni 2017 in keinem abgeschlossenen Gefahrenabwehrvorgang – seine Befugnisse gemäß den §§ 20h, 20k, 20l Abs. 2 Bundeskriminalamtgesetz (BKAG) a.F. bzw. §§ 46, 49, 51 Abs. 2 BKAG genutzt.

In einem Gefahrenabwehrverfahren wurden Maßnahmen nach §§ 46 BKAG beantragt, jedoch nicht umgesetzt.

Frage 2:

Wie viele allgemein technisch unterscheidbare Verfahren der gezielten Ausnutzung von IT-Sicherheitslücken einzelner Kommunikationsanbieter unterhalb der Schwelle des Trojanereinsatzes werden von Seiten der Bundesregierung bislang unterschieden (bitte im Einzelnen erläutern)?

Antwort 2:

Im Rahmen der Einsatz- und Ermittlungsunterstützung werden die bestehenden rechtlichen und technischen Möglichkeiten genutzt, um in Verfahren der Strafverfolgung und Gefahrenabwehr Informationen zu gewinnen. Hierbei unterscheidet die Bundesregierung zwischen der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und dem Online-Durchsuchungsverfahren (ODS Verfahren). Darüber hinaus wird auf die Vorbemerkung der Bundesregierung verwiesen.

Frage 3:

Wie oft kamen diese oder vergleichbare Verfahren bis zum heutigen Tage jeweils zum Einsatz, und auf welcher Rechtsgrundlage konnte dies nach Auffassung der Bundesregierung geschehen?

Antwort 3:

Es wird auf die Antwort zu den Fragen 1, 4 und 5 verwiesen. Hinsichtlich der Nachrichtendienste des Bundes ist eine Beantwortung aus den in der Vorbemerkung genannten Gründen nicht möglich.

Frage 4:

Wie oft sind der Bundesnachrichtendienst (BND), das Bundesamt für den Militärische Abschirmdienst (BAMAD)‚ das BfV, das BKA, das Zollkriminalamt und die Bundespolizei seit dem 01.06.2017 jeweils in Messenger-Dienste-Konten von nach dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten eingedrungen?

Antwort 4:

Es wird auf die als „GEHEIM“ und „VS-NfD“ eingestuften Antwortteile gemäß der Vorbemerkung verwiesen.

Antwort 4 (VS-NfD):

In 20 Verfahren des BKA wurden seit dem 1. Juni 2017 entsprechende Maßnahmen durchgeführt. Das Zollkriminalamt (ZKA) und die Bundespolizei (BPOL) sind im fragegegenständlichen Zeitraum nicht in Messenger-Dienste-Konten von nach dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten eingedrungen.

Frage 5:

Wie oft wurde die Quellen-TKÜ-Software des BKA (RCIS) seit dem 01.06.2017 eingesetzt und auf welcher Rechtsgrundlage erfolgte dies jeweils?

Antwort 5:

Neben der Aufstellung des Bundesamtes für Justiz (BfJ) wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung verwiesen. Eine weiterführende Beantwortung ist aus den in der Vorbemerkung genannten Gründen nicht möglich.

Antwort 5 (VS-NfD):

Frage 5 wird aufgrund des Sachzusammenhangs gemeinsam mit Frage 8 beantwortet. Das BKA hat in dem zur Rede stehenden Zeitraum in einem abgeschlossenen Verfahren einmal Software zur Durchführung von Maßnahmen der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) eingesetzt. Die Rechtsgrundlage waren §§ 100a Abs. 1 S. 2 Strafprozessordnung (StPO) ff. Konkrete Angaben zur eingesetzten Software können aus den in der Vorbemerkung der Bundesregierung dargelegten Gründen nicht gemacht werden.

Frage 6:

In wie vielen Fällen war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes von RCIS?

Antwort 6:

Es wird auf Vorbemerkung der Bundesregierung verwiesen.

Frage 7:

Wie viele Versionen des RCIS wurden vom BKA oder in seinem Auftrag entwickelt?

Antwort 7:

Es wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung verwiesen.

Antwort 7 (VS-NfD):

Die vom BKA entwickelten Produkte zur Durchführung von Maßnahmen der Informationstechnischen Überwachung werden in Abhängigkeit der operativen Bedarfslage und der technischen Entwicklung kontinuierlich weiterentwickelt.

Frage 8:

Wie oft wurde die Quellen-TKÜ-Software des BKA (FinSpy) seit dem 01.06.2017 eingesetzt und auf welcher Rechtsgrundlage erfolgte dies jeweils?

Antwort 8:

Es wird auf die Ausführungen zu Frage 5 und die Vorbemerkung der Bundesregierung verwiesen.

Frage 9:

In wie vielen Fällen war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes von FinSpy?

Antwort 9:

Es wird auf Vorbemerkung der Bundesregierung verwiesen.

Frage 10:

Von welchen anderen Bundesbehörden wurde die oben genannte oder andere Quellen-TKÜ-Software seit dem 01.06.2017 nach Kenntnis der Bundesregierung wie häufig eingesetzt (bitte nach Behörde, Jahr und Anzahl der Einsetzungen aufschlüsseln)?

Antwort 10:

Es wird auf den als VS-NfD eingestuften Antwortteil gemäß der Vorbemerkung verwiesen.

Hinsichtlich der Nachrichtendienste des Bundes ist eine Beantwortung aus den in der Vorbemerkung genannten Gründen nicht möglich.

Antwort 10 (VS-NfD):

Die BPOL und das ZKA haben im fragegegenständlichen Zeitraum keine Quellen-TKÜ-Software eingesetzt.

Frage 11:

In wie vielen Fällen war die gezielte Ausnutzung von sog. Zero-Day-Sicherheitslücken Grundlage und Voraussetzung des Einsatzes von Quellen-TKÜ-Software durch andere Bundesbehörden?

Antwort 11:

Es wird auf die Antwort zu Frage 10 verwiesen.

Frage 12:

Welchen Phänomenbereichen (Organisierte Kriminalität, PMK, Internationaler Terrorismus, BtM-Handel, Geldwäsche usw.) waren bzw. sind die in Frage 10 genannten Fälle zuzuordnen?

Antwort 12:

Es wird auf die Antwort zu Frage 10 verwiesen.

Frage 13:

Von welchen Bundesländern wurde die oben genannte oder andere Quellen-TKÜ-Software des BKA nach Kenntnis der Bundesregierung seit dem 01.06.2017 jeweils erlangt, und in welchen Ländern wurde sie bereits wie häufig konkret eingesetzt?

Antwort 13:

Auf dem Gebiet der informationstechnischen Überwachung kooperieren die Sicherheitsbehörden des Bundes und der Länder miteinander. Dies kann auch die Weitergabe von Informationstechnischen Überwachungsprodukten (ITÜ-Produkten) umfassen. Darüber hinaus wird auf die Vorbemerkung der Bundesregierung verwiesen.

Frage 14:

Welchen Phänomenbereichen (Organisierte Kriminalität, PMK, Internationaler Terrorismus, BtM-Handel, Geldwäsche usw.) waren bzw. sind die in Frage 13 genannten Fälle nach Kenntnis der Bundesregierung zuzuordnen?

Antwort 14:

Es wird auf die Antwort zu Frage 13 verwiesen.

Frage 15:

Welche Behörden des Bundes sind nach Kenntnis der Bundesregierung mit der Suche nach und der Prüfung von sog. Zero-Day-Sicherheitslücken beschäftigt?

Antwort 15:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wirkt gemäß seines aus § 3 Absatz 1 des BSI Gesetzes (BSIG) hervorgehenden gesetzlichen Auftrags darauf hin, sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Technologieherstellern zu schließen. Nach Validierung der vorliegenden Informationen werden dem BSI bekannte Sicherheitslücken im Rahmen des Coordinated Vulnerability Disclosure (CVD)-Prinzips mit den für die Absicherung der betroffenen Produkte verantwortlichen Herstellern geteilt. Dies gilt gleichermaßen für gemäß § 7a BSIG durch das BSI entdeckte Sicherheitslücken wie auch für seitens Externer an das BSI gemeldete Sicherheitslücken. Bezüglich der Prüfung von sog. Zero-Day-Sicherheitslücken setzt sich die Bundesregierung derzeit inhaltlich mit dieser Thematik auseinander. Da die Meinungsbildung innerhalb der Bundesregierung hierzu nicht abgeschlossen ist, kann zur Frage des möglichen Umgangs mit Zero-Day-Schwachstellen lediglich im Rahmen aktuell geltender Regelungen eine Aussage getroffen werden.

Frage 16:

In welchem Umfang haben sich welche Bundesbehörden sog. Zero-Day-Sicherheitslücken wann beschafft oder waren hieran wann auf europäischer bzw. multilateraler Ebene beteiligt?

Antwort 16:

Es wird auf die Vorbemerkung der Bundesregierung verwiesen.

Frage 17:

In welcher Höhe sind nach Kenntnis der Bundesregierung bei der Suche bzw. Beschaffung von Informationen betreffend sog. Zero-Day-Sicherheitslücken seit dem 01.01.2018 Kosten entstanden (Bitte aufschlüsseln nach Jahr, Behörde und Höhe sowie Zweck der Aufwendungen)?

Antwort 17:

Es wird auf die Vorbemerkung der Bundesregierung verwiesen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Forscher, Frequenzen und Fatales - 25 Juni, 2020 - 18:00

Operationalizing Research Access in Platform Governance: What to learn from other industries? (AlgorithmWatch)
Hinter dem etwas sperrigen Titel verbirgt sich eine Studie der Universität Amsterdam zusammen mit AlgorithmWatch. Es geht unter anderem darum, wie Plattformen ihre Daten Forschenden zur Verfügung stellen sollten, wie das mit der Datenschutzgrundverordnung vereinbar ist und welche Vorbilder es gibt. Spiegel Online hat das in einem Vorab-Bericht zusammengefasst.

Iran arrests men for ’selling babies on Instagram‘ (BBC)
Drei Männer aus dem Iran sollen mutmaßlich versucht haben, Säuglinge auf Instagram zu verkaufen. Die Polizei hat die Männer festgenommen. Einer davon soll gesagt haben, er habe die Babys aus armen Familien bekommen und ihnen eine bessere Zukunft ermöglichen wollen. Der Verkauf Neugeborener ist offenbar kein Einzelfall, Faktoren wie Armut und Obdachlosigkeit würden Frauen in ausweglose Situationen bringen, berichtet die BBC.

Boston becomes largest city on east coast to ban face surveillance (ACLU Massachusetts)
Mit Boston verbietet eine weitere US-Stadt den Einsatz von Videoüberwachung mit Gesichtserkennung und folgt damit einigen anderen, kleineren Städten im Bundesstaat Massachusetts. Eine ähnliche Entwicklung lässt sich auch an der Westküste beobachten, wo unter anderem San Francisco die Technik verbannt hat.

Entscheidungen über die Vergabe von Frequenzen für 5 G im Wege der Versteigerung sind rechtmäßig (Bundesverwaltungsgericht)
Telefonica hatte gegen die Vergabe der 5G-Frequenzen geklagt und ist damit nun in zweiter Instanz vor dem Bundesverwaltungsgericht gescheitert. Die Mobilfunkbetreiberin hatte sich gegen die Versteigerung von Frequenzen gewandt, die noch bis zum Ende des Jahres 2025 mit Nutzungsrechten belegt seien. Über weitere Klagen gegen die Vergabebedingungen und Versteigerungsregeln sei noch nicht rechtskräftig entschieden.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Urheberrechtsreform: Grenzen für Uploadfilter - 25 Juni, 2020 - 11:52

Letztes Jahr sind mehr als 170.000 Menschen in Europa gegen die EU-Urheberrechtsreform auf die Straße gegangen und konnten die EU-Richtlinie am Ende nicht verhindern. Jetzt stellt das Bundesjustizministerium einen Diskussionsentwurf für die Umsetzung der Richtlinie in Deutschland vor.

Auch wenn die Protestbewegung damals die EU-Richtlinie nicht stoppen konnte, zeigt der jetzige Entwurf der Bundesregierung, dass die Kritik zumindest in Teilen ankam und aus Sicht der Internet-Nutzer:innen auch Positives zu vermelden ist.

Das kann allerdings nicht darüber hinwegtäuschen, dass die Bundesregierung ihr Versprechen, dass es keine Uploadfilter geben werde, mit dem jetzigen Gesetzentwurf brechen wird. Die Umsetzung der neuen Regeln wird nicht ohne Uploadfilter auskommen – außer man verhindert diese noch ausdrücklich im Gesetzestext.

Memes im Netz sollen legal sein

Der größte Erfolg, den die Protestbewegung errungen hat, ist eine Legalisierung von Teilen der Alltagskultur im Internet. Der Gesetzentwurf sieht ein Recht auf die Nutzung urheberrechtlich geschützter Inhalte nicht nur für Karikaturen, Parodien und Pastiches, sondern auch ganz allgemein für „Bagatellnutzungen zu nicht-kommerziellen Zwecken“ vor. Damit wären Memes in Zukunft rechtssicher möglich. Nutzer:innen müssen eine solche Nutzung von Material in Zukunft vor dem Upload zum Beispiel per Checkbox vormerken, damit der Uploadfilter gar nicht erst anspringt. Im Gegenzug gibt es für diese Nutzungen einen Vergütungsanspruch gegenüber kommerziellen Plattformen, über die solche nutzergenerierten Werke verbreitet werden. Das entspricht vom Ansatz her ziemlich genau den Forderungen der Initiative „Recht auf Remix“.

Allerdings sind Bagatellnutzungen urheberrechtlich geschützter Inhalten nur unter strengen Bedingungen erlaubt. Diese dürfen bei Film oder Ton nicht länger als 20 Sekunden, bei Text maximal 1.000 Zeichen lang sein und bei Fotos und Grafiken eine Größe von 250 Kilobyte nicht überschreiten. Während diese genauen Angaben der Klarheit und Rechtssicherheit dienen dürften, sind sie gleichzeitig sehr statisch und wenig flexibel. Und 250 Kilobyte sind einfach schon sehr wenig.

Ausnahmen für kleine und junge Plattformen

Eine große Sorge während der Proteste war die Frage, für welche Plattformen das Gesetz gelten soll. Im derzeitigen Entwurf sind kleine Plattformen, Foren, Blogs und ähnliches nicht betroffen. Die Regelung sieht nun vor, dass Start-Ups, die jünger als drei Jahre sind und weniger als zehn Millionen Euro Jahresumsatz haben, vom Gesetz ausgenommen sind. Genauso verhält es sich mit kleinen Anbietern mit einem Jahresumsatz von weniger als einer Million Euro. Ausgenommen vom Gesetz sind auch die Wikipedia, Code-Plattformen wie Github, Online-Marktplätze und Cloud-Anbieter zwischen Unternehmen, beziehungsweise solche, die nur das Hochladen von Inhalten für den Eigengebrauch ermöglichen.

Die nun vorgeschlagene Regelung sieht darüber hinaus nicht nur Beschwerdeverfahren mit Beschwerdestellen bei den Plattformen vor, sondern auch den klassischen Rechtsweg. Wird das richtig umgesetzt, können sich Nutzer:innen gegen unberechtigte Löschungen tatsächlich wehren. Vor Overblocking soll ein Passus schützen, eine wiederholte missbräuchliche Nutzung von Uploadfiltern durch die Rechteverwerter kann zu einem Ausschluss dieser aus dem System führen.

Erfreulich ist auch die Klarstellung, dass mit dem Erlöschen des Urheberrechts an einem visuellen Werk „auch der Schutz von Vervielfältigungen dieses Werkes durch verwandte Schutzrechte“ erlischt. Das bedeutet, dass einfache Fotografien gemeinfreier Werke nicht 50 Jahre als Lichtbild urheberrechtlich geschützt sind. Das wird besonders Wikipedianer:innen freuen, die zu diesem Thema einen jahrelangen Rechtsstreit mit den Reiss-Engelhorn-Museen geführt und letztlich verloren hatten.

Mehr Möglichkeiten für Museen, Archive und Kreative

Außerdem werden mit dem Gesetzesentwurf die Möglichkeiten von Museen und Archiven erweitert, nicht verfügbare Werke der Öffentlichkeit zugänglich zu machen. Das in skandinavischen Staaten bewährte Instrument der „erweiterten kollektiven Lizenz“ wird in diesem Zusammenhang Teil des deutschen Urheberrechts. Umfassende Angebote wie das norwegische Bokhylla-Projekt, das sämtliche vor 2000 erschienenen norwegischen Bücher im Volltext online zugänglich macht, sind durch den Fokus auf nicht verfügbare Werke in Deutschland jedoch weiterhin nicht möglich.

Schließlich findet sich eine Reihe von Bestimmungen im Vorschlag, die vor allem die Rechtsposition professionell Kreativer stärken. Neben Auskunftsansprüchen und den bereits erwähnten Vergütungsansprüchen gegenüber Plattformen sollen sich Urheber:innen künftig bei Rechtsstreitigkeiten durch Vereinigungen von Urhebern vertreten lassen können. Das ist deshalb wichtig, weil es das Machtungleichgewicht zwischen großen Rechteverwertern und einzelnen Urheber:innen etwas abmildern dürfte.

Der Entwurf schließt Uploadfilter nicht aus

Auch wenn Teile des Gesetzentwurfes auf langjährige Forderungen eingehen und angesichts der Lobbystärke der Rechteverwerter einen kleinen Erfolg darstellen, bleibt das große Grundproblem: Die Einführung von Uploadfiltern. Diese Uploadfilter kommen definitiv, wenn sie nicht noch im Gesetzentwurf ausdrücklich ausgeschlossen werden. Ob das aber überhaupt auf nationaler Ebene im Einklang mit der Richtlinie möglich wäre oder ob der Entwurf bereits einem „weitestgehenden Verzicht auf Uploadfilter“, wie ihn die SPD-Vorsitzende Saskia Esken verkündete, entspricht, wird damit vorerst nicht gerichtlich geklärt werden können.

Uploadfilter sind gefährlich, weil sie zu Overblocking führen und so Grundrechte beeinträchtigen können. Wie gut es gelingt, mittels Checkbox willkürliche Löschungen und Overblocking in Grenzen zu halten, wird erst die Umsetzung durch die Plattformen zeigen.

Jedenfalls aber wird mit einmal eingeführten Uploadfiltern eine Infrastruktur etabliert, mit der einfach Löschungen und Zensur unliebesamer Inhalte durchgesetzt werden können. Alleine die Existenz einer solchen Infrastruktur wird Begehrlichkeiten aus anderen Bereichen als dem Urheberrecht hervorrufen. Was gerade noch zur Durchsetzung von Urheberrechten diente, kann mit einem Gesetz schnell auch für Einschränkungen der Meinungs- und Pressefreiheit missbraucht werden.

Nicht gegeneinander ausspielen lassen!

Die misslungene EU-Richtlinie, die ein von der Realität überholtes Urheberrecht für die nächsten Jahrzehnte europaweit zementiert hat, setzt der deutschen Umsetzung enge Grenzen. Im Vergleich zu anderen nationalen Implementierungen versucht der deutsche Vorschlag immerhin, die Rechte von Nutzer:innen zu berücksichtigen und zu einem Ausgleich zu führen (in Frankreich oder den Niederlanden fanden die Interessen von Internet-Nutzer:innen kaum Berücksichtigung). Einige der vorgeschlagenen Änderungen wie die Checkbox-Lösung sind – unter den EU-rechtlichen Umständen – als durchaus innovative Ansätze zu bewerten.

Angesichts der kürzlich veröffentlichten Stellungnahmen von Bundeswirtschaftsministerium und Bundeskanzleramt zu einer früheren Fassung des Referentenentwurfs ist es aber keineswegs sichergestellt, dass der jetzt vorliegende Entwurf des Bundesjustizminsteriums so auch beschlossen wird. In der Vergangenheit wurden häufig in letzter Minute auf parlamentarischer Ebene noch Änderungen zu Gunsten von Rechteverwerter-Lobbys vorgenommen. Mitentscheidend wird sein, dass die digitale Zivilgesellschaft und die Mehrheit der professionell Kulturschaffenden sich nicht von Verwerterverbänden gegeneinander ausspielen lassen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

DDoS-Angriffe aus Einsamkeit: Eine Geschichte ungehörter Hilferufe - 25 Juni, 2020 - 10:41

Schon sein Name ist blanker Hohn. Auf Twitter nennt er sich Naifu911. Wie das Messer auf Japanisch, wie der Notruf in den USA. „Seit fünf Stunden haben sie es bisher nicht geschafft, den Angriff zu unterbinden“, schreibt er. „Schwache Leistung.“

Es ist der 7. Januar 2020 und der Angreifer verspottet sein Opfer. Über die Deutsche Kreditbank (DKB) prasselt zu jenem Zeitpunkt eine sogenannte Distributed-Denial-of-Service-Attacke (DDoS) herab. Die Website der Bank ist zum Teil nicht erreichbar, damit auch das Online-Banking. Für die rund vier Millionen Kund:innen der Bank ist dies ein Ärgernis, für die DKB selbst eine Katastrophe.

Fünf Monate werden vergehen, bis herauskommt, wer hinter den Angriffen stecken soll. Vergangene Woche vermelden die Sicherheitsbehörden einen Erfolg. Sie durchsuchen die Wohnungen eines 16-Jährigen im niedersächsischen Soltau und eines 20-Jährigen im Schwarzwald. Dem Duo werfen sie vor, für eine ganze Serie solcher Vorfälle verantwortlich zu sein.

Nach Recherchen von hat dabei womöglich vor allem der Jüngere der beiden die tragende Rolle gespielt, offenbar auch nicht zum ersten Mal. Bei ihm handelt es sich wohl um die Person, die unter dem Pseudonym Naifu auftrat. Nur: Was könnte das Duo dazu gebracht haben, an diesem Dienstagabend eine Bank zu attackieren?

Genau genommen gilt der Angriff dem Finanz Informatik Technologie Service, einem Unternehmen der Sparkassen-Gruppe. Es betreut die DKB als Dienstleister. Die Firma ergreift Maßnahmen, sie leitet den Datenverkehr um, schaltet Dienste dazwischen, die die Attacken eindämmen sollen.

Besucher:innen der Website werden durch Server von Drittanbietern geschleust, die einen DDoS-Schutz versprechen. Sie tragen Namen großer Firmen aus dem Bereich der IT-Sicherheit, SecurityDAM, Radware oder Cloudflare. Aber der damals noch anonyme Angreifer Naifu zeigt sich unbeeindruckt. „Solange man nicht weiß, wie man mit den Anbietern umgeht, wird das nichts“, lästert er auf Twitter.

Über Tage hinweg wird das Theater andauern und die DKB nur eingeschränkt erreichbar bleiben.

Tödliche Anfälle von Einsamkeit

Die Angreifer suchen sich derweil wohl ihr nächstes Ziel, jetzt trifft es den Telekommunikationsanbieter Freenet. Auch dessen Website hat mit der Last der Attacke zu kämpfen. Auf Twitter feiert Naifu seinen Erfolg. Ein Dienst, der Störungsmeldungen erfasst, dokumentiert diesen. „Mal schauen, ob ich die Sparkasse auch in die Top-10-Störungen der Woche bekomme“, schreibt er.

Naifu lädt ein Video hoch, das zeigt, wie er auch deren Informationsportal aus dem Netz befördert, es ist ein Vorher-Nachher-Vergleich. Im Hintergrund läuft japanische Musik, eine Frauenstimme besingt „tödliche Anfälle von Einsamkeit“.

Wer Naifu bei seinen Angriffen zusieht, wohnt einer Inszenierung bei. Sie wirkt wie eine melodramatische Machtdemonstration. So, als solle jeder sehen, wozu er, Naifu, in der Lage ist.

Eine große Kanone

Bei DDoS-Attacken werden Ziele mit so vielen Anfragen bombardiert, bis sie überlastet sind. Irgendwann ist schlichtweg die Leitung dicht. Mitunter stellen Angreifer:innen besonders rechenintensive Anfragen, die auch noch den Server selbst lahmlegen. In jedem Fall können Besucher:innen einer Website nicht mehr wie gewohnt auf diese zugreifen.

Wer solche Attacken ausführen will, muss üblicherweise eine große Zahl von ans Netz angeschlossenen Geräten kontrollieren. DDoS-Angriffe werden deshalb üblicherweise mithilfe sogenannter Botnetze verübt. Sie bestehen aus etlichen Geräten, die mit Schadsoftware infiziert sind und dadurch ferngesteuert werden können.

Anfang Januar ist offensichtlich, dass auch Naifu Zugang zu einem solchen Botnetz hat. Er nutzt es wie eine große Kanone, mit der er ein Ziel nach dem anderen abschießt. Wie groß diese Kanone ist, macht er noch einmal ein paar Tage später deutlich, als er eine weitere Bank attackiert. Er twittert: „Ich schaue dann mal bei Comdirect vorbei.“ Vier Minuten vergehen, dann geht auch zu dieser eine Flut an Störungsmeldungen ein.

Angriffe auf kritische Infrastruktur

Banken zählen zur sogenannten kritischen Infrastruktur. Dabei handelt es sich um Systeme, die für die Gesellschaft von wesentlicher Bedeutung sind. Da sie durch Angriffe aus dem Netz gefährdet sind, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den „Krisenplan Cyber“ entwickelt, mit dem sie sich auf eine großangelegte Attacke vorbereitet.

„Noch hat es wenig Cyberangriffe gegeben, und die Banken haben sie gut überstanden“, ließ sich BaFin-Direktor Raimund Röseler kürzlich in einer Publikation seiner Behörde zitieren. „Aber die Bedrohung ist da. Und sie wächst.“ Fast 700 schwerwiegende Fälle sind nach Angaben der Aufsichtsbehörde seit 2018 bekannt geworden.

Auch die Sicherheitsbehörden nehmen Angriffe auf kritische Infrastruktur ernst. Wie ernst, das wird auch bald Naifu zu spüren bekommen. Mit seinen Taten soll er einen Millionenschaden verursacht haben. Insgesamt zwölf DDoS-Fälle in Deutschland bringt die Polizei mit ihm in Verbindung, sie ermittelt in fünf Bundesländern, auch das Bundeskriminalamt ist eingebunden.

Zusammen laufen die Fäden in Kiel. Dort hat das Landeskriminalamt (LKA) Schleswig-Holstein eigens die Ermittlungsgruppe „Welle“ gebildet. Sie wertet die Spuren aus, die der Angreifer hinterlassen hat. Sie verfolgt sie zurück. Sie steht am 16. Juni vor der Wohnungstür in Soltau.

In der Stadt, die eher für ihren Heide-Park bekannt ist, treffen die Ermittler:innen auf Naifu, den 16-Jährigen, der eigentlich M. heißt.

Ein Werk von Script-Kiddies?

Seinem mutmaßlichen Partner, dem 20-Jährigen, der in Calw lebt, wirft die Schwerpunkt-Staatsanwaltschaft „Cybercrime“ in Itzehoe vor, einen Command-and-Control-Server angemietet zu haben. Also den Computer, mit dem das Duo das Botnetz gesteuert haben soll. Bereits in der Vergangenheit sei er polizeilich in Erscheinung getreten, im Zusammenhang mit sogenanntem Computerbetrug.

Bei M. ist die Sache komplizierter. Erst bei Nachforschungen wird deutlich, dass diese Eskalation Anfang des Jahres nur der Höhepunkt einer Entwicklung zu sein scheint, die offenbar schon vor Jahren begann.

Naifus Geschichte ist nicht die eines jungen Superhackers. Das zeigen die Spuren, die er selbst über die Jahre im Netz hinterlassen hat. Bekannte, die wir ausfindig gemacht haben, zeichneten das Bild eines unglücklichen Jugendlichen, der vor allem Anschluss suchte und dafür wieder und wieder zu weit ging.

Angreifer haben das Botnetz wohl selbst aufgebaut

In der Hacker-Szene werden DDoS-Attacken belächelt. Um sie auszuführen, ist kaum technisches Können notwendig, heißt es häufig. Tatsächlich lassen sich Botnetze für solche Angriffe auf einschlägigen Websites schon für wenig Geld anmieten. Verübt werden sie mitunter von sogenannten Script-Kiddies, die fertige Programme ausführen und so mitunter ohne viel eigenes Können enormen Schaden anrichten.

„Was die Angreifer hier getan haben, ist am Ende trivial. Das erfordert eben ein bisschen Fleiß“, sagt Linus Neumann, Sprecher des Chaos Computer Club. „Am Ende ging es um die Frage, ob die Angreifer genug Ausgangspunkte und Bandbreite unter ihre Kontrolle bringen können, um ihr Ziel zu überfordern.“ Da selbst die größten Anbieter über endliche Ressourcen verfügen, lasse sich der Erfolg eines solchen Angriffs nie vollständig ausschließen.

Die Ermittler:innen der Einsatzgruppe „Welle“ glauben, dass M. und sein Mitstreiter ihr Botnetz, mit dem sie Websites von Banken in die Knie zwangen, selbst aufgebaut haben könnten. Wie ihnen das gelungen sein soll, dazu will sich das LKA nicht äußern.

Nach Recherchen von könnte vor allem der 16-Jährige hierfür verantwortlich gewesen sein. Wir sind auf deutliche Hinweise darauf gestoßen, woraus dieses Botnetz mindestens teilweise bestanden hat. Die Erkenntnisse sind so erstaunlich wie erwartbar für den Modus Operandi eines 16-Jährigen.

Es beginnt mit Minecraft

Fünf Jahre zuvor ist M. elf Jahre alt. Und wie viele Kinder und Jugendliche steckt er tief in der bunten Klötzchenwelt von Minecraft, einem Computerspiel, das Spieler:innen große Freiheiten lässt. Sie können sie nach ihren eigenen Wünschen gestalten oder über das Netz gemeinsam mit anderen erkunden.

Wem das nicht reicht, der kann bereits mit rudimentären Programmierkenntnissen eigene Erweiterungen schreiben und der Minecraft-Welt seinen eigenen Willen aufzwängen, jenseits der Gesetze der ursprünglichen Spielphysik. Viele junge Spieler:innen reizt das, und so machen sie mit Minecraft ihre ersten Schritte. Auch M. gehört zu ihnen. Wie er in einem Tweet schreibt, lernt er für das Spiel die Programmiersprache Java. M. wird über die Jahre mehrere Twitter-Accounts nutzen, Naifu ist nicht sein einziges Pseudonym.

Es dauert nicht lange, bis erste Hinweise auftauchen, dass seine wahren Interessen jenseits dieser bunten Klötzchenwelt liegen könnten. Nach einigen Monaten, in denen er an dem Spiel herumbastelt, ändert er den Namen seiner Spielfigur. In Minecraft nennt sich M. jetzt LuminosityLink.

Vielleicht ist das einfach ein Zufall. Vielleicht hat er sich bei dem Namen aber auch inspirieren lassen. LuminosityLink, so heißt damals jedenfalls ein neues Programm aus den USA, das für 40 US-Dollar erhältlich ist. Es ist so beliebt, dass sich sogar das FBI dafür interessiert: Es wird später den Entwickler festnehmen. Denn bei LuminosityLink handelt es sich um Schadsoftware. Sie erlaubt Angreifer:innen, Geräte zu infizieren und anschließend zu kontrollieren.

Trojaner-Angriff in der Schule

Als weitaus deutlicheres Warnsignal muss man rückblickend einen Vorfall deuten, den M. verursacht, als er in der siebten Klasse ist.

Er infiziert mehrere Schulcomputer mit dem, was der zuständige Landkreis in einer E-Mail an diese Redaktion später als multifunktionale Schadsoftware bezeichnen wird. Offenbar installiert M. einen sogenannten Trojaner. Sobald sich Lehrer:innen und Mitschüler:innen an den Schulcomputern anmelden, kann er diese fernsteuern.

Die unerlaubten Zugriffe fliegen wohl deshalb auf, weil er bei einem Freund damit angibt. So erzählt er selbst davon auf Twitter. Nicht zum letzten Mal wird es die Prahlerei sein, die ihn in ernsthafte Schwierigkeiten bringt. Wenn M. Mist baut, wissen am Ende offenbar alle Bescheid – sogar die Behörden.

Schon damals sind die Folgen immens. Die Firma, die die Schulsoftware betreut, muss in Soltau vorbeikommen und den Server überprüfen. Und der Niedersächsischen Landesschulbehörde zufolge wird M.s Mutter zu einem Gespräch in die Schule bestellt. Auch ein Mitarbeiter aus der IT-Abteilung des Landkreises ist dabei.

Für M. geht die Sache glimpflich aus. Seinen Tweets zufolge erhält er im Halbjahreszeugnis die Note fünf für sein „Sozialverhalten“. Der Landesschulbehörde zufolge verzichtet die Schule jedoch darauf, Strafanzeige zu stellen.

Ein Programm, um zu betrügen

„Ich habe überhaupt kein Bock auf Schule, derzeit auch kein Bock auf Schlafen“, twittert er ein paar Wochen später mitten in der Nacht, an einem Tag unter der Woche. Aus seinem Zeugnis, das er auf Twitter teilt, geht hervor, das er nur in einem einzigen Fach gut ist: Informatik. Seine Freizeit fließt mittlerweile in ein großes Projekt, das den Namen LiquidBounce trägt.

Dabei handelt es sich um ein Stück Software, das Minecraft-Spieler:innen erlaubt, Servern beizutreten und zu betrügen, indem es ihnen neue Funktionen freischaltet, die eigentlich gar nicht vorgesehen sind. Vorteile, die ihnen erlauben, gegen die Regeln zu verstoßen. Genau genommen ist es eine Art Hack.

LiquidBounce, das M. mit einem Freund betreibt, entwickelt sich in der Minecraft-Szene zu einem großen Erfolg. Einem Screenshot zufolge setzen Tausende das Programm täglich ein. Aber im Sommer 2018 zeichnet sich ein Problem ab: Auf einmal kennzeichnen Antivirenprogramme LiquidBounce wohl als Schadsoftware. Sie halten es für gefährlich, es besteht der Verdacht, bei LiquidBounce könnte es sich in Wahrheit um einen Trojaner handeln.

Hintertüren in Erweiterungen für Minecraft-Server

M. beklagt sich darüber auf Twitter. Und er wischt diese Bedenken beiseite. Eine Fehlfunktion, behauptet er in Tweets. Der Freund, mit dem er die Software in Stand hält, dementiert heute gegenüber, dass LiquidBounce Schadsoftware enthielt. Quelloffen und damit für jeden überprüfbar, machen die Entwickler das Programm jedoch erst viel später.

Der Verdacht, in LiquidBounce könnten geheime Hintertüren verbaut worden sein, drängt sich auch deshalb auf, weil M. wohl parallel dazu an entsprechenden Programmen arbeitet. Mehrere Bekannte berichten übereinstimmend, der Teenager habe fremde Erweiterungen für Minecraft mit einer Hintertür versehen und über gängige Plattformen weiterverbreitet. Nichtsahnende Spieler:innen hätten sie auf ihren Minecraft-Servern installiert und diese dadurch infiziert.

Träfe dies zu, dann hätte M. Zugang zu Geräten, die er fernsteuern kann. Die entscheidende Voraussetzung für ein Botnetz. Die Ermittler:innen glauben, er und der heute 20-Jährige hätten spätestens im Januar 2019 begonnen, ein solches aufzubauen.

Erpressung in Nigeria

In dieser Zeit entwickelt M. offenbar eine erhebliche kriminelle Energie. Zum ersten Mal scheinen seine Taten einen finanziellen Hintergrund zu haben. Der Staatsanwaltschaft zufolge schlägt er im April 2019 außerhalb von Deutschland zu, in Westafrika.

Dort habe M. Router von Telekommunikationsanbietern und deren Kund:innen angegriffen, teilt die Behörde mit. Das LKA sagt, er habe eine Sicherheitslücke ausgenutzt. Internetnutzer:innen in Nigeria bekamen einen Sperrbildschirm angezeigt. Um die Geräte wieder freizugeben, soll der Angreifer rund 100 Euro in der Krypto-Währung Bitcoin gefordert haben. Die Staatsanwaltschaft Itzehoe wirft M. deshalb gewerbsmäßige Erpressung vor.

Die nigerianischen Telekommunikationsanbieter, denen der Account Naifu demonstrativ auf Twitter folgt, lassen Anfragen von unbeantwortet. Wie groß der durch diese Angriffe entstandene Schaden ist, kann auch das LKA noch nicht sagen.

M. selbst scheint jedoch konkrete Vorstellungen davon zu haben, was er in dem Land angerichtet hat. „Erst recht habe ich dort nicht nur die Anbieter offline genommen, ich habe alle Router ‚gehackt‘ und unbrauchbar gemacht“, schreibt er einer Bekannten in einer Nachricht. Er prahlt, die betroffenen Unternehmen seien dadurch fast pleite gegangen.

Die Lust an der Zerstörung liegen umfangreiche Gesprächsprotokolle vor, die über die Jahre auf der Chat-Plattform Discord entstanden sind. Zum Teil konnten wir sie selbst sichern, zum Teil wurden sie uns zugespielt. M. tritt unter verschiedenen Pseudonymen mit unterschiedlichen Accounts auf, zum Teil auch gleichzeitig.

In mindestens einem Fall fragt er sich vor den Augen weiterer Teilnehmer:innen offenbar selbst zu den Angriffen aus. Womöglich ein Versuch, um weitere Aufmerksamkeit zu erzeugen.

Wer M.s Nachrichten liest, lernt einen Menschen kennen, der keinerlei Anteilnahme am Leid Anderer zu verspüren scheint. „Ich mache seit Jahren nichts anderes, als anderen Leuten ihr Leben schwer zu machen“, schreibt er. „Es macht mir Spaß, anderen Leuten unnötig Arbeit zu machen oder ihr Leben zu zerstören.“

Angriff auf den YouTuber Unge

Wo immer M. auftaucht, scheint es Ärger zu geben. Er ist auch in einen Angriff auf Suro verwickelt, ein von langer Hand geplantes, mehrtägiges Minecraft-Event des YouTubers Unge, der von den Einnahmen durch seine Videos und Livestreams lebt.

Mehrere Personen aus M.s Team sabotieren das Projekt. Mithilfe einer Sicherheitslücke brechen sie in Unges Minecraft-Server ein.

Ein Mitschnitt zeigt, wie sie sich dabei auf M.s Discord-Kanal organisieren. Auch er selbst nimmt teil. Während der YouTuber livestreamt, postet die Gruppe massenhaft Werbebotschaften für das Programm LiquidBounce in den Chat des Spiels. Schließlich tötet sie mithilfe eines Server-Befehls alle Spielfiguren.

Verglichen mit dem, was im Sommer 2019 beginnt, ist dieser Angriff auf Suro aber nur Kleinkram. M.s Zerstörungswut scheint jetzt eine neue Dimension zu erreichen. Und er verlässt die bunte Minecraft-Welt wohl endgültig. Zunächst, weil er ein neues Lieblingsspiel hat. Was wie das einfache Hobby eines mittlerweile 15-Jährigen aussehen mag, wird bald auch die Sicherheitsbehörden beschäftigen.

DDoS-Attacken auf eine gesamte Gaming-Community

„SCP: Secret Laboratory“ ist ein Indie-Shooter, der damals nach Entwicklerangaben mehr als 50.000 Spieler:innen hat. Es gibt einige hundert Server, auch M. ist an einem beteiligt. Einer, der mit M. im Team dieses Servers ist, räumt später ein, es könnte darum gegangen sein, die Konkurrenz zu behindern, damit mehr Menschen auf ihrem eigenen Server spielen.

Über Wochen hinweg prasseln DDoS-Attacken auf die Spieleserver ein. Die meisten deutschen Server sind hiervon betroffen, wie Łukasz Jurczyk später sagt. Bei dem polnischen Entwicklerstudio Northwood ist er für die IT-Sicherheit zuständig.

Zeitweise greift wohl M. an, sobald mindestens zwei Spieler:innen einem Spieleserver beitreten. Wie er selbst in einem Chat behauptet, betrifft dies mehr als 500 Server.

Botnetz bestand wohl auch aus Minecraft-Servern konnte umfangreiche Protokolle des Netzwerkverkehrs einsehen, die während Angriffen aus dieser Serie entstanden sind. Sie lassen Rückschlüsse zu auf die Quellen, von denen die Attacken ausgingen.

Wir haben IP-Adressen, die daran beteiligt waren, abgeglichen und stichprobenartig zurückverfolgt. In vielen Fällen finden sich eindeutige Belege dafür, dass die Angriffe von Minecraft-Servern ausgingen. Offenbar handelt es sich mindestens bei einem Teil des Botnetzes tatsächlich um Server, von denen M. zuvor behauptet hat, er habe sie durch umgebaute Erweiterungsprogramme mit Schadsoftware infiziert.

Die Internetanbindung eines Spieleservers sollte weitaus leistungsfähiger sein als ein herkömmlicher Internetanschluss zuhause. Viele Spieler:innen müssen sich gleichzeitig mit dem Server verbinden können, ohne dass es zu Störungen kommt. Das sind Voraussetzungen, die es besonders attraktiv machen, solche Server für einen DDoS-Angriff zu missbrauchen. Dies könnte erklären, warum die Attacken des Botnetzes so effektiv waren.

Strafanzeige in Schleswig-Holstein

Schon wenige Tage nach dem Beginn der großflächigen DDoS-Serie in der Community von „SCP: Secret Laboratory“ erstattet eine betroffene Person an ihrem Wohnort in Schleswig-Holstein Strafanzeige bei der Polizei. Sie übergibt auch einen USB-Stick mit Belegen, die sie gesammelt hat, darunter Screenshots. Spätestens im Sommer 2019 erfahren die Ermittler:innen von dem Angreifer mit dem Pseudonym Naifu.

Bereits damals lässt sich ein deutlicher Hinweis auf das Täterprofil finden: Als Avatar nutzt Naifu ein Bild von Shiro, einem Charakter aus der Anime-Serie „No Game No Life“, beliebt vor allem bei Teenagern. Shiro ist eine Gamerin, bekannt dafür, dass noch niemals jemand gegen sie gewonnen hat.

Auch M. scheint sich unbesiegbar zu fühlen. „Die deutsche Polizei ist ziemlich schlecht in sowas“, schreibt er in einem Chat. „Sie haben es die ganzen Jahre nicht geschafft, mich zu bekommen – egal, wie viele Informationen es gab.“

Vielleicht geht er deshalb bald noch größere Risiken ein. Naifu attackiert jetzt auch in Deutschland Ziele, die nichts mehr mit seinen Computerspielen zu tun haben.

Auch Internetanbieter geraten in die Schusslinie

Im Juli und August beschießt das Botnetzwerk eine Reihe lokaler Internetanbieter. Zu den Leidtragenden gehört die TNG Stadtnetz GmbH in Kiel. Einer der Angriffe sei von 5.000 unterschiedlichen IP-Adressen ausgeführt worden, teilt ein Sprecher des Unternehmens mit. Dabei habe er eine Bandbreite von rund 500 Gigabit pro Sekunde erreicht.

Die tatsächliche Wirksamkeit einer solchen Attacke richtig zu bemessen, ist schwierig, weil es dabei darauf ankommt, wie viele Ressourcen dem Angriffsziel zur Verfügung stehen. Die Datenmenge, die auf zwei Ziele der TNG Stadtnetz GmbH einprasselt, entspricht zum Vergleich etwa 100.000 Menschen, die gleichzeitig einen HD-Film bei Netflix schauen. Was für manche Anbieter Alltag sein mag, kann die Kapazitäten anderer um ein Weites übersteigen.

Auch in Hessen sind drei Unternehmen betroffen. In einem Fall genügt M. nach eigenen Angaben auf Discord als Grund, dass die Internet-Bandbreite eines Freundes gedrosselt worden sein soll.

Er gefällt sich offensichtlich in der Rolle des maskierten Rächers, der Unheil stiftet. In der Statusanzeige auf Discord, wo normalerweise steht, welches Computerspiel Nutzer:innen spielen, trägt er für alle sichtbar das Ziel ein, das sein Botnetz gerade ins Visier nimmt.

Spekulationen über einen Auftragshacker

Der 15-Jährige will auffallen, auch außerhalb seiner Gaming-Community. Unter dem Namen Naifu registriert er hierzu auch mehrere Accounts bei Facebook. „Ich hoffe euch gefällt der Angriff auf das Netz“, kommentiert er etwa einem Dienstleister aus Kassel auf die Seite. „Das wird noch ein bisschen länger laufen, freut euch.“

Tausende Kund:innen der betroffenen Anbieter fliegen in dieser Zeit immer wieder aus dem Netz oder können sich gar nicht erst einwählen. Der wirtschaftliche Schaden, der durch solche Ausfälle verursacht wird, kann immens sein. Abwehrmaßnahmen kosten die Internetanbieter Geld und beschädigen das Vertrauen der Kund:innen, zu denen wiederum Firmen gehören, die selbst auf das Internet angewiesen sind.

Christopher Mandt, Geschäftsführer des einem Facebook-Beitrag zufolge betroffenen Internetanbieters Nexiu aus dem Hochtaunuskreis, spekuliert gegenüber der Zeitung Frankfurter Neue Presse im August sogar, ein unzufriedener Kunde könnte einen Hacker beauftragt haben, um sein Unternehmen zu attackieren. Wie schon in Schleswig-Holstein nimmt die Polizei nun auch in Hessen Ermittlungen auf.

Monate vergehen, bis Ermittler:innen auf M. stoßen

Nicht klar ist, wie lange es wirklich dauert, bis die Einsatzgruppe „Welle“ all die Spuren miteinander verknüpft. Bereits im Januar ist eine Verbindung zwischen den DDoS-Angriffen auf kritische Infrastruktur und den Attacken in der Gaming-Community von „SCP: Secret Laboratory“ ersichtlich.

Während Naifu mit seinem Botnetz die DKB und die Sparkasse beschießt, prahlt er damit in einem Discord-Kanal. Auch Monate später werden seine Nachrichten noch einsehbar sein.

In dieser Community sind auch Menschen aktiv, die genau wissen, wie M. heißt, sogar wo er zur Schule geht. Ist es wirklich vorstellbar, dass ihn dort im Januar niemand mit dem Angreifer Naifu in Verbindung bringt?

Weitere fünf Monate werden vergehen, bis die Polizei seine Wohnung durchsucht. Fünf Monate, in denen Naifu noch weiteren Schaden anrichtet.

Forderungen nach besserer Zusammenarbeit der Sicherheitsbehörden

Zusammenhänge zwischen einzelnen Straftaten im Bereich der Internetkriminalität würden häufig viel zu spät erkannt, sagt der stellvertretende Vorsitzende der Grünen-Fraktion im Bundestag Konstantin von Notz gegenüber „In der Vergangenheit sind Probleme bei der Zusammenarbeit der Strafverfolgungsbehörden bei der Verfolgung entsprechender Delikte über Landesgrenzen hinweg immer wieder offen zu Tage getreten.“

Auch die Kooperation mit dem Nationalen Cyber-Abwehrzentrum funktioniere nicht so, wie sie es solle, so der Innenpolitiker. „Dass allein bei dieser Tat ein Schaden in siebenstelliger Höhe entstanden ist, zeigt, wie drängend es ist, sich endlich angemessen mit Fragen der IT-Sicherheit und der Abwehr von Angriffen zu beschäftigen – statt über Hackbacks und Co. zu sinnieren und so die wenigen wertvollen Ressourcen zu verschwenden, die wir in dem Bereich haben.“

Die stellvertretende Parteivorsitzende der Linken Martina Renner gibt gegenüber dieser Redaktion zu bedenken, ein zentraler Blick von oben garantiere keinen schnelleren Ermittlungserfolg. Aber auch sie fordert eine engere Zusammenarbeit.

„Notwendig scheint mir doch eher, dass die beteiligten Behörden sich in solchen Fällen viel schneller austauschen“, sagt Renner. „Das Ziel darf dabei nicht sein, Ermittlungen irgendwohin auszulagern, sondern Ermittlungsschritte und Erkenntnisse miteinander abzugleichen und zu koordinieren.“

Ein rätselhaftes Motiv

Ein Rätsel dürfte für die Einsatzgruppe „Welle“ lange Zeit das Motiv geblieben sein, mit dem der Unbekannte Naifu scheinbar wahllos Banken und Internetanbieter attackierte. Verdient hat er daran offenbar nicht. Nach allem, was bislang bekannt ist, blieben Lösegeldforderungen eine Ausnahme, die sich auf die Angriffe in Nigeria beschränkte.

Aber warum würde ein 16-Jähriger derartige Taten begehen? Die Staatsanwaltschaft geht davon aus, dass M. die Angriffe aus Langeweile und Einsamkeit verübt hat.

Er selbst lässt an dieser Lesart kaum Zweifel aufkommen. „Falls jemand mit mir schreiben möchte: Ich bin einsam“, steht in einem Tweet, den er ganz oben in seinem Account festgepinnt hat, dahinter ein tieftrauriges Emoticon und seine Kontaktdaten beim Messengerdienst Telegram.

Es ist derselbe Twitter-Account, mit dem Naifu die DDoS-Angriffe ankündigt. Für M. scheinen sie ein trauriger Versuch zu sein, um neue Kontakte zu knüpfen.

Zum letzten Mal schlägt er wohl am 20. Mai zu. „REDDIT TAKEN DOWN BY NAIFU“, twittert er, dazu ein Screenshot. Demnach hat er nun auch noch die große internationale Plattform Reddit angegriffen. Also ausgerechnet einen Ort, an dem Menschen in den mehr als einer Million Unterforen zusammenkommen und so etwas wie Gemeinschaften bilden. Das LKA Schleswig-Holstein will diesen Fall nicht kommentieren – wie es heißt, um laufende Ermittlungen nicht zu gefährden.

Das Botnetz könnte noch immer funktionstüchtig sein

In einem Forum, in dem M. regelmäßig aktiv war, hat er sich seinem Profil zufolge seit dem Tag der Durchsuchungen nicht mehr angemeldet. Dabei ist er, wie auch der 20-Jährige aus dem Schwarzwald, auf freiem Fuß. Das LKA sagt, es bestehe kein Haftgrund.

Bei der Auswertung des Netzwerkverkehrs, der während der Angriffe in der Gaming-Community von „SCP: Secret Laboratory“ entstanden ist, hat eine Entdeckung gemacht. Etliche IP-Adressen, die darin auftauchen, haben wir maschinell abgefragt.

In vielen Fällen sind die Geräte, die mutmaßlich mit Schadsoftware infiziert sind, noch immer am Netz. Sie werden auch weiterhin als Minecraft-Server genutzt. Das bedeutet: Naifus Botnetz könnte womöglich noch immer funktionstüchtig sein.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Brasilien: Das „schlechteste Internetgesetz der Welt“ steht zur Abstimmung (Update) - 25 Juni, 2020 - 08:20

In Brasilien soll in den nächsten Tagen ein Gesetz gegen Fake News vom Senat verabschiedet werden. Das Gesetz, das sich offiziell gegen Falschnachrichten richtet, wird die Internetfreiheit in Brasilien massiv einschränken. Laut dem Gesetz müssen sich in Zukunft alle Nutzer:innen, die mit anderen im Internet kommunizieren, bei Diensten mit Personalausweis und Telefonnummer registrieren. Außerdem sieht das Gesetz eine Vorratsdatenspeicherung aller Kommunikationen und Kommunikationsketten für vier Monate vor. Brasilien hat heute schon eine Vorratsdatenspeicherung der Verbindungsdaten.

Im Jahr 2018 hatte es zur Präsidentschaftswahl, aus der der rechtsextreme Präsident Jair Bolsonaro als Sieger hervorging, großangelegte Desinformationskampagnen vor allem auf WhatsApp gegeben. Damals hatte der Facebook-Konzern, zu dem WhatsApp gehört, mit Änderungen der App reagiert.

Menschenrechtsorganisationen weltweit alarmiert

Das nun zur Abstimmung stehende Gesetz geht weit über die Bekämpfung von Falschnachrichten hinaus und würde einen Überwachungsapparat installieren, der nicht nur die Privatsphäre sowie die Meinungs- und Pressefreiheit bedroht, sondern auch Millionen von Brasilianer:innen, die keine Ausweisdokumente besitzen, von der Nutzung des Internets ausschließt.

Davor warnen zahlreiche brasilianische, lateinamerikanische und internationale Bürger- und Menschenrechtsorganisationen sowie Journalistenverbände übereinstimmend.

Die Electronic Frontier Foundation (EFF) warnt vor dieser neuen Form der Vorratsdatenspeicherung:

Das Zusammensetzen einer Kommunikationskette kann hochsensible Aspekte von Einzelpersonen, Gruppen und ihren Interaktionen offenbaren – selbst wenn keine von ihnen tatsächlich an illegalen Aktivitäten beteiligt sind. Die Daten werden am Ende eine ständig aktualisierte Karte der Verbindungen und Beziehungen zwischen fast allen brasilianischen Internetnutzer:innen offenlegen.

Das große brasilianische „Koalition für Internetrechte“ bezeichnet das Vorhaben als „das schlechteste Internetgesetz der Welt“. Kritisiert wird hierbei auch der vage Begriff „interpersonale Kommunikationssysteme“, die alle unter das Gesetz fallen sollen – das ist von E-Mail über soziale Netzwerke über Dating-Plattformen bis Messenger alles, mit dem Menschen kommunizieren. In keiner dieser Systeme wäre es nach Verabschiedung des Gesetzes noch möglich, pseudonym zu kommunizieren, mit all den Nachteilen für einen bedeutenden Teil der Bevölkerung.

Gesetz befördert Zentralisierung des Internets

Der jüngste Gesetzentwurf verfehle sein angebliches Ziel, Desinformation zu bekämpfen, heißt es in einer Erklärung, welche die lateinamerikanische Digital-Rights-Organisation „Derechos Digitales“ zusammen mit mehr als 40 anderen Nichtregierungsorganisationen zusammen veröffentlicht hat. Das Gesetz wende sich gegen die Dezentralität des Internets und befördere eine konzentrierte digitale Umgebung. Das kritisiert auch die Electronic Frontier Foundation: Das Gesetz beachte nicht, wie dezentrale Kommunikationsarchitekturen arbeiteten, viele Dienste seien gar nicht in der Lage, zwischen weitergeleiteten und nicht-weitergeleiteten Inhalten zu unterscheiden, so wie es das Gesetz verlangt. Laut dem Fake-News-Gesetz können aber Anbieter und Dienste, die sich nicht an die Gesetzgebung halten, in Brasilien blockiert werden.

Die Electronic Frontier Foundation hat eine Seite geschaltet, mit der die brasilianischen Senator:innen angeschrieben werden können.


Kurz vor der für den 25. Juni angesetzten Abstimmung wurde ein neuer Gesetzentwurf veröffentlicht. Er sieht zwar keine Sperr- und Datenlokalisierungsmaßnahmen mehr vor, aber die Überwachungs- und Identifizierungsregeln bleiben bestehen. Eine Analyse gibt es von der „Koalition für Internetrechte“ auf portugiesisch. Die meisten Bedenken bleiben laut der Analyse auch bei diesem neuen Entwurf bestehen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Stalking per Smartphone: Wie Sicherheitsforscher:innen Spionageapps enttarnen wollen - 25 Juni, 2020 - 08:00

In diesem Beitrag geht es um geschlechtsspezifische Gewalt. Bitte denkt daran, dass auch die Browsing-History nachträglich auf euren Geräten überwacht und nachvollzogen werden kann – dazu zählt auch diese Seite. Falls ihr vermutet, selbst überwacht zu werden, wendet euch an eine Beratungsstelle. Organisationen in Deutschland und weitere Informationen findet ihr hier auf der Seite der Coalition Against Stalkerware.

Manchmal wird Technologie, selbst ganz billige, zur Waffe. Stalkerware ist ein Beispiel dafür. Die Apps sind leicht im Internet zu finden, kosten nur wenige Euro im Monat und eignen sich hervorragend dafür, eine andere Person rund um die Uhr zu überwachen. Wo war sie? Mit wem hat sie Nachrichten ausgetauscht? Welche Webseiten hat sie aufgerufen und welche Passwörter eingegeben? Das Handy der Betroffenen wird durch die App zur Wanze, die alles weitersendet, was man ihr anvertraut – selbst verschlüsselte Chats und Passwörter können mitgelesen werden. Ein Werkzeug für die Totalüberwachung.

Vor allem im Zusammenhang mit Partnerschaftsgewalt taucht Stalkerware auf. Menschen jeden Geschlechts sind betroffen, besonders häufig Frauen. Doch wer solche Programme auf dem Smartphone nachweisen will, hat einen ziemlich schweren Stand. Die meisten Apps sind gut darin, ihre Anwesenheit zu verstecken. Auf dem Display tauchen sie gar nicht erst auf oder wenn, dann nur unter unverdächtigen Decknamen wie „Wifi-Check“.

Auf den Spuren der Spähsoftware

Spuren hinterlassen die Programme trotzdem. Der Sicherheitsforscher Etienne Maynier, im Netz auch bekannt als Tek, hat sich die Mühe gemacht, diesen Spuren zu folgen und sie zu dokumentieren. In einem Archiv auf GitHub hat er eine Reihe von Hinweisen veröffentlicht, mit denen einige der gängigsten Spionageprogramme für Android-Geräte ihre Präsenz verraten.

Darin findet sich etwa die Liste der Web-Domains, mit denen die Apps regelmäßig Kontakt halten – denn Stalkerware-Apps leiten die gestohlenen Informationen immer an einen Server weiter, wo der Überwacher sie bequem anschauen kann. Auch die Namen der verschiedenen Paket-Dateien und die zugehörigen Hashwerte listet Maynier, eine Art digitaler Fingerabdruck, mit dem sich überprüfen lässt, ob zwei Dateien deckungsgleich sind. Mit diesem Mittel suchen etwa Antivirenprogramme nach Malware auf dem Telefon.

Maynier lebt in Berlin und arbeitet in seinem Hauptberuf für Amnesty International, wo er die digitale Überwachung von Menschenrechtsaktivist:innen analyisert. Mit Stalkerware beschäftigt er sich in seiner Freizeit, erzählt er am Telefon. In Frankreich, wo er herkommt, versucht er gerade mit einem Kreis von feministischen Aktivist:innen eine Organisation aufzubauen, die Frauenhäuser und Beratungsstellen mit Werkzeugen und Wissen unterstützt. ECHAP heißt sie, wie die Escape-Taste auf französischen Tastaturen.

Das Problem ist Gewalt

Mit der Veröffentlichung der Datenspuren will Maynier andere Sicherheitsforscher:innen ins Boot holen. Die Daten sollen ihnen dabei helfen, Spionagesoftware auf Geräten zu finden oder sich tiefer in die Materie einzuarbeiten, sagt Maynier. Seine Liste ist alles andere als vollständig, betont er. Sie enthält bislang rund 50 Programme, darunter berüchtigte Schnüffelapps wie mSpy, HelloSpy oder FlexiSpy. Es sind jene, deren Code er in die Finger bekommen konnte, meist indem er sie über einen versteckten Link herunterladen konnte. Kaufen wollte er die Apps nicht – aus ethischen Gründen.

Zugleich ist Maynier sich der Grenzen seiner technologischen Herangehensweise bewusst. „Was ich veröffentlicht habe, kann nützlich sein“, sagt er, aber es gehe nicht an die Wurzel. „Das Problem ist nicht Stalkerware, das Problem ist Gewalt gegen Frauen und Partnerschaftsgewalt. Und so lange wir das nicht lösen, werden wir mit technologischen Mitteln nicht viel ausrichten.“

Eine Art Berufsrisiko in seiner Branche sei es, dass alle gerne an neuen und coolen Problemen arbeiten wollten. Stalkerware ist so ein Bereich, der den Jagdinstinkt weckt. Doch er fürchtet, Sicherheitsforscher:innen könnten sich verrennen.

Gekidnappte Konten

Denn die Realität von Überwachung in der Partnerschaft ist häufig viel banaler. Wer die Mails oder Chats eines Partners mitlesen will, muss kein Hacker sein. Gerade für Menschen aus dem Umfeld ist es oft viel einfacher, ein Passwort zu erraten oder dem Anderen als Vertrauensbeweis abzupressen. Forscher:innen berichten, es sei häufig eine Mischung von Stalkerware und solchen gekidnappten Konten, mit denen Betroffene unter Druck gesetzt werden. Doch Account-Passwörter zurückzusetzen, dafür gibt es wenig Applaus aus der Peer Group. „Alle wollen an Stalkerware arbeiten“, sagt Maynier, „dabei wäre es vermutlich wichtiger, Opfern dabei zu helfen, ihre GMail-Passwörter zurückzusetzen.“

Der Fokus auf Stalkerware verstellt womöglich auch den Blick, fürchtet er: auf all die anderen Apps und Funktion, die auf jedem Telefon schon vorinstalliert sind und sich ebenfalls für die illegale Überwachung eignen – von Google Maps bis zu den verschiedenen „Find My Phone“-Features.

Android als „Wilder Westen“ der Stalkerware

Mayniers Werkzeugkasten listet nur Apps für das Betriebssystem Android. Eva Galperin, die bei bei der Organisation Electronic Frontier Foundation den Kampf gegen die Branche anführt, bezeichnet das „Ökosystem von Android“ als „Wilden Westen“ von Stalkerware. Zwar gebe es immer wieder Beispiele dafür, wie einzelne Apps durch die Maschen der des ITunes-Stores von Apple und des Google Play Stores schlüpfen und dort offiziell zum Kauf stehen. In der Regel handele es sich aber um Pakete, die über einen Umweg auf dem Android-Smartphone der Betroffenen landen. Das berichtet Galperin bei einem Hintergrundgespräch der Stiftung Neue Verantwortung Anfang der Woche.

Vor allem ältere Android-Telefone seien besonders anfällig, sagt Galperin. „Das macht mir Sorgen, denn es bedeutet, dass Cybersicherheit etwas für reiche Leute ist.“ Das gelte für IPhone- oder Pixel-Nutzer:innen. Die Mehrheit, die weiter auf billige Android-Handys angewiesen ist, muss im Wilden Westen klarkommen.

Galperin hat vergangenes Jahr eine weltweite Initiative gegründet, die Coaltion Against Stalkerware, auch Organisationen aus Deutschland sind dabei wie der Weiße Ring oder der Bundesverband Frauenberatungsstellen (bff).

Sie möchte ihre Zeit nicht mit der Jagd auf die Anbieter:innen verbringen, die sich häufig hinter Strohfirmen und in „juristisch wenig responsiven“ Staaten versteckten. „Ich will es schwerer für sie machen, ihren Job zu erledigen.“

Die Apps ans Licht zerren statt Firmen jagen

Deswegen liegt der Fokus von Galperins Zusammenschluss vor allem auf Detektion. Ihr Ziel: Antivirenprogramme sollen Stalkerware auf dem Telefon ebenso zuverlässig erkennen wie andere Malware. Hersteller könnten die Apps dann nach wie vor verkaufen. Täter:innen könnten sie nach wie vor kaufen und installieren – aber die Apps wären nutzlos, sie könnten sich nicht mehr verstecken. Der Markt ginge kaputt.

Auch Mayniers Werkzeugkasten mit verräterischen Spuren kann dabei helfen, denn Sicherheitsforscher:innen können sie als Ausgangspunkt nehmen, um die Apps ans Licht zu zerren. Doch egal wie gut die technischen Lösungen am Ende sind, sie werden nicht das Problem lösen, so lange nicht die geschlechtsspezifische Gewalt im Fokus steht, warnt Maynier. Soll heißen: Die Betroffenen sind häufig in einer gewalttätigen Beziehung, das Stalking ist Teil der Gewalt und in und für sich schon Gewalt. Die größte Herausforderung: „Alles, was du tust, kann die Betroffenen gefährden – selbst die Apps zu finden und zu entfernen“. Forscher:innen wie Galperin und Maynier wissen das. Deswegen arbeiten sie mit Expert:innen und Organisationen für geschlechtsspezifische Gewalt zusammen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Vorratsdatenspeicherung: Regierung schreibt alte Massenüberwachung in neue Gesetze - 25 Juni, 2020 - 07:00

Die Bundesregierung will einfach nicht locker lassen: Obwohl die anlasslose und massenhafte Speicherung von Vorratsdaten wiederholt von Gerichten für illegal erklärt wurde, beharrt die große Koalition weiterhin darauf, das Instrument in Gesetzesform zu gießen.

Im Referentenentwurf der anstehenden Novelle des Telekommunikationsgesetzes (TKG), den wir kürzlich veröffentlicht haben, finden sich einschlägige Passagen aus dem bisher geltenden Gesetz wieder. Die Bestimmungen wurden zuletzt vom Bundesverwaltungsgericht ausgesetzt. Derzeit prüft der Europäische Gerichtshof erneut, ob eine verdachtsunabhängige Überwachung rechtens ist.

Verdachtsunabhängige Speicherung

Dessen ungeachtet hat die Bundesregierung die rechtlich fragwürdigen Regeln übernommen. Demnach sollen Telefonie-Anbieter unter anderem alle Rufnummern samt der Uhrzeit des jeweiligen Telefonats oder einer SMS-Nachricht speichern, und zwar für zehn Wochen. Selbiges gilt für IP-Adressen, über die Internetverbindungen abgewickelt werden. Standortdaten sollen vier Wochen lang vorgehalten werden.

Das Bundesinnenministerium wiegelt ab: „Die Regelungen zur Vorratsdatenspeicherung sind nach wie vor geltendes Recht“, sagt ein Sprecher gegenüber Offenbar hofft das Ministerium, aus dem Rechtsstreit als Gewinner hervorzugehen. In dem Falle wäre die Vorratsdatenspeicherung bereits im Gesetz verankert, man könnte dann sofort loslegen. „Die Entscheidungen des EuGH und des BVerwG bleiben abzuwarten“, sagt der Sprecher.

„Klarer Verstoß“

Dennoch könnten Probleme auf die Regierung zukommen. Schließlich muss das geplante Gesetz bei der EU-Kommission zur Notifizierung vorgelegt werden, bevor es in Kraft treten kann. Dies könnte sich als Stolperstein entpuppen, sagt Ulf Buermeyer von der Gesellschaft für Freiheitsrechte.

„Aus europarechtlicher Sicht ist der TKG-Entwurf ein ziemlich klarer Verstoß gegen Verpflichtung der Mitgliedstaaten der EU zu unionstreuem Verhalten, weil kein Staat Gesetze erlassen darf, die gegen Europarecht verstoßen“, so Buermeyer weiter. „Und in diesem Fall hat die Bundesregierung bereits vom Oberverwaltungsgericht Münster schriftlich bekommen, warum die Vorratsdatenspeicherung im TKG mit Unionsrecht unvereinbar ist.“

Bereits 2017 hatte das Oberverwaltungsgericht festgestellt, dass die aus 2015 stammende und jetzt wieder aufgekochte Regelung in dieser Form unionsrechtswidrig ist. Damals bemängelten die Richter, die Speicherpflicht erfasse pauschal die Verkehrs- und Standortdaten nahezu aller Nutzer:innen von Telefon- und Internetdiensten – ohne jeglichen Verdacht, dass diese eine Straftat begangen hätten.

Auflagen werden ignoriert

„Erforderlich seien aber nach Maßgabe des Gerichtshofs jedenfalls Regelungen, die den von der Speicherung betroffenen Personenkreis von vornherein auf Fälle beschränkten, bei denen ein zumindest mittelbarer Zusammenhang mit der durch das Gesetz bezweckten Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren für die öffentliche Sicherheit bestehe“, zeigte das Gericht auf, wo die Regierung nachbessern muss.

Gefruchtet hat dies bislang nicht, allerdings steht Deutschland nicht alleine da. Europaweit drängen vor allem Innenminister darauf, die grundrechtsfeindliche Vorratsdatenspeicherung auf Biegen und Brechen durchzusetzen. Nur wenige Länder konnten sich bislang dazu durchringen, von dem Instrument abzurücken und andere Verfahren einzusetzen. Österreich etwa setzt inzwischen auf „Quick Freeze“. Hierbei werden bestimmte Vorratsdaten erst dann eingefroren, wenn ein Anfangsverdacht besteht.

Zu noch nicht verabschiedeten Gesetzen will sich die EU-Kommission nicht äußern. Allerdings stellt ein Kommissionssprecher gegenüber klar: „Grundsätzlich ist es so, dass es zunächst in der Verantwortung der Mitgliedstaaten liegt zu prüfen, ob ihre nationalen Gesetze mit EU-Recht vereinbar sind.“

Update, 17:00: Uns erreichte eine Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Ulrich Kelber:

Bevor wir über neue Befugnisse für die Sicherheitsbehörden reden, sollten zunächst die Erfahrungen aus der Polizeipraxis evaluiert werden. Viele der aktuellen Ermittlungserfolge sind Ergebnis von mehr Personal und besserer Koordination bei den Sicherheitsbehörden und eben nicht einer vermehrten Datenspeicherung. Abgesehen davon speichern die Telekommunikationsanbieter die Verkehrsdaten aus technischen Gründen ohnehin kurzfristig. Vorstellbar wäre beispielsweise ein sogenannter „Quick Freeze“. Dabei können die Sicherheitsbehörden bei einem Verdacht einen Telekommunikationsanbieter anweisen die Verkehrsdaten länger zu speichern. Die Gerichte würden dann entscheiden, ob die Daten für eine Ermittlung genutzt werden können oder gelöscht werden müssen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Alltägliche Wahrheiten: Goodbye Twitter!

Blogs - 28 August, 2018 - 20:42

Soeben habe ich meinen Twitteraccount deaktiviert. Gerne hätte ich ihn komplett „gekillt“. Das ist erst nach weiteren 30 Tagen möglich.

Screenshot meines Twitterprofils






Weil man acht digitale Jahre nicht so einfach auf den persönlichen Müllhaufen werfen kann, hatte ich mich jetzt zwei Wochen lang damit schwergetan. Das persönliche Faß zum Überlaufen gebracht hat die Twitterblockade der Tweets von Digitalcourage e.V. zum Aktionstag #SaveYourInternet am letzten Wochenende.

Auch ohne meinen Account bei mastodon hätte ich das jetzt gemacht. Dort erreicht man mich jetzt unter in einer vom Umgangston her wesentlich entspannteren und freundlicheren Atmosphäre.

Ich will und kann niemandem Vorschriften machen, ob und wie er/sie Twitter weiter nutzt. Meine Weggefährten aus den letzten Jahren habe ich charakterlich und politisch so in Erinnerung, dass auch sie bald das Richtige mit ihrem Twitteraccount machen werden.




Kategorien: Blogs - Mein Stift, mein Zettel, mein Blog!: Deutschland im Jahr 2018

Blogs - 28 August, 2018 - 14:04

Ein Mensch ist ermordet worden. Das wäre der Zeitpunkt, am Ort des Geschehens eine Kerze zu entzünden, Hinterbliebene zu unterstützen, dem Opfer zu gedenken. Die Strafverfolgung, die Verurteilung und die Vollstreckung des Urteils ist und bleibt in Deutschland Angelegenheit der Polizei, der Staatsanwaltschaft und der Gerichte.

Statt dessen macht sich ein Mob auf den Weg in die Innenstadt um allen zu zeigen „wer in der Stadt das Sagen hat“. Mit dabei: polizeibekannte gewaltbereite Hooligans. Ein MdB der AFD ruft auf Twitter zur Selbstjustiz als Bürgerpflicht auf, Augenzeugen berichten von Gruppen die durch die Stadt laufen und zum „Kanakenklatschen“ aufrufen. Jagdszenen. 26 Jahre nach den Anschlägen von Rostock-Lichtenhagen, fast auf den Tag genau.

Mit dem Mord an einem 35jährigen hat das alles zu diesem Zeitpunkt schon nichts mehr zu tun. Ich verwette meinen Hintern darauf, dass beträchtliche Teile der fast 1000 „besorgten Bürger“ die in Chemnitz aufmarschierten, erst im Nachhinein überhaupt von dem Mordfall erfahren haben. Das war den meisten wohl auch völlig egal.

Wir sprechen nicht von einer legitimen Demonstration die einen Mangel an öffentlicher Sicherheit anprangert. Wir sprechen hier von einem wütenden Mob, der nur auf den richtigen Moment wartete, um endlich zu starten.

Wir sprechen hier nicht mehr von „besorgten Bürgern“, „Islamkritikern“, „Fußball-Ultras“ oder „Verlierern des Systems“. Wir sprechen von Leuten wie Frau Faschner [1], die ihre Abneigung gegen Ausländer mit „Weil man ja gegen irgendwen sein muss, und mit denen ist es einfach“ begründet. Wir sprechen von Menschen die „Ausländer raus“, „Deutschland den Deutschen“ und „Schlagt den Roten die Schädeldecke ein“ brüllen [2] und/oder in aller Öffentlichkeit und bestimmt nicht in satirischem oder künstlerischem Kontext den Hitlergruß zeigen [3].

Wir sprechen von Rechtsradikalen und Nazis!

Niemand der am Sonntag oder gestern dort mitgelaufen ist, Verständnis oder gar Sympathie für die Handlungen zeigt, kann es sich mehr verbitten als Nazi bezeichnet zu werden.

Es ist an der Zeit, das Kind endlich beim Namen zu nennen. Es ist an der Zeit einzusehen, dass es nichts mit Verunglimpfung der Personen oder einer Verharmlosung dunkler Teile unserer Geschichte zu tun hat, wenn man diesen Begriff benutzt.

Wir leben in Zeiten, in denen ein Videospiel zensiert wird, bzw. für den deutschen Markt bis zur erzählerischen Sinnentleerung umprogrammiert werden muss, weil der Protagonist gegen Nazis kämpft und zur Kulissendarstellung Hakenkreuze im Spiel auftauchen [4]. Gleichzeitig marschieren Rechte auf und zeigen öffentlich und in eindeutigem Kontext den Hitlergruß und die Polizei schaut zu. Währenddessen brechen Journalisten in einer deutschen Stadt ihre Arbeit ab, weil die Sicherheitslage es nicht mehr zulässt [5]. Deutschland im Jahr 2018.

Am Rande bemerkt: Die Polizei überlässt quasi ganze Straßenzüge Rechtsradikalen, weil sie personell nicht in der Lage ist, die Situation zu handlen [1]. Ob allgemeiner Personalnotstand oder eine katastrophale Fehleinschätzung der Lage im Vorfeld dafür verantwortlich ist, lässt sich nicht eindeutig beantworten. Eindeutig ist jedoch, dass eine Ausweitung der Polizeigesetze, wie sie in nahezu jedem Bundesland derzeit angestrebt oder umgesetzt wird, nicht die Problemlösung sind, als die sie uns verkauft werden sollen.

UPDATE (15:40 Uhr): Ein Freund des Opfers erklärt auf Facebook [6]:

[…] Diese Rechten die das als Plattform nutzen, mit denen mussten wir uns früher Prügeln, weil sie uns nicht als genug deutsch angesehen haben. Jeder der Daniel Hillig gekannt hat, weiß das dies unmöglich sein Wille gewesen wäre. Lasst euch nicht Benutzen, sondern trauert… […]




[3] ,




Kategorien: Blogs

Pirat Aleks A.: Interessante Links und Nachrichten 20.08.2018ff

Blogs - 24 August, 2018 - 19:50
Kategorien: Blogs

Alltägliche Wahrheiten: Was mache ich eigentlich jetzt?

Blogs - 24 August, 2018 - 13:50

Bekanntlich reichte es für uns Piraten 2017 nicht zum Wiedereinzug in den schleswig-holsteinischen Landtag. Lange Zeit deswegen traurig zu sein, hatte ich nicht. Etwas mehr als zwei Wochen nach der Wahl sorgte ein ziemlich heftiger (gibt´s andere?) Herzinfarkt dafür, dass ich aus meinem bisherigen Leben aussteigen musste. Direkt nach der etwa siebenstündigen Bypass-OP konnte ich gerade mal 20 Meter gehen. Danach war erst einmal Pause angesagt. Heute, 15 Monate später, lege ich täglich auf dem Ergometer zwölf bis dreizehn Kilometer zurück und mache gerne ausgedehnte Spaziergänge. Geholfen hat dabei natürlich, dass ich weg bin von den circa 40 Zigaretten am Tag.

So ein Schuss vor den Bug ordnet – wenn man ihn denn richtig deutet – vieles neu. Man setzt andere Prioritäten. Politik spielt entsprechend nur noch eine sehr untergeordnete Rolle in meinem Leben. Mein Dienstherr hat mich vorzeitig in den Ruhestand versetzt, nachdem amtsärztlich feststand, dass ich nicht wieder die Fitness erreichen werden würde, die man als Ermittlungsbeamter bei der Zollfahndung nun einmal braucht.

Ganz und gar ohne Einmischen geht es allerdings auch nicht. Helfe mit Rat (öfter) und Tat (seltener) gerne in meiner Partei und an anderen Stellen. Nach wie vor haben Whistleblower genug Vertrauen zu mir und melden sich. Gerne helfe ich ihnen beim richtigen Unterbringen ihrer Informationen. Dabei helfen die „alten“ Kontakte aus dem Parlament natürlich. Das Schöne daran ist, dass ich die „Schlagzahl“ bestimmen kann. Nach dem Tod vom Jürgen Roth im letzten Jahr versuche ich in seinem Sinne handelnd „Dinge auf den Weg zu bringen“.

Dass ich nun wesentlich mehr Zeit für gute Musik und vor allem natürlich guten Blues habe, werdet Ihr noch merken, wenn ich von Konzerten berichte oder nur mal so auf Musiker hinweise.

Kategorien: Blogs

Piraten Ulm: Kommunalwahl 2018 in Ulm

Blogs - 24 August, 2018 - 10:47

Es war wohl keine so gute Idee mitten in der Urlaubszeit eine Mannschaft anzuheuern. Wir sagen hiermit die Aufstellungsversammlung am Samstag, den 25.08 ab und melden uns diesbezüglich wieder, wenn wir die Leute beisammen haben.

Wenn du also möchtest, dass in Ulm piratige Politik gemacht wird, melde dich doch bitte bei uns unter
vorstand(at) Je schneller desto eher können wir aufstellen und je mehr sich melden, umso eher bekommen wir jemanden in den Stadtrat!

Liebe Grüße,
Dein Vorstand

Kategorien: Blogs

Piraten Offenburg: Uploadfilter gefährden Spielerezensionen und Let’s Plays

Blogs - 23 August, 2018 - 22:05

Am 12. September werden die Europaabgeordneten abstimmen, wie mit der neuen Urheberrechtsrichtlinie weiter verfahren werden soll. Auch Let’s Plays, Spielerezensionen und Abandonware sind von dieser Richtlinie betroffen, erklärt unsere Abgeordnete Julia Reda:

Uploadfilter sind absolutes Gift für die Spielekultur! Videospielrezensionen oder Let’s Plays, die Gameplay enthalten, sind oftmals (zumindest teilweise) vom Zitatrecht abgedeckt und somit keine Urheberrechtsverletzung, obwohl die Grafiken im Gameplay urheberrechtlich geschützt sind. Uploadfilter können aber nicht unterscheiden, ob es sich um eine Urheberrechtsverletzung oder ein legales Zitat im Rahmen einer Rezension oder Spielkritik handelt.”Julia Reda

Außerdem sind auch Plattformen für Abandonware betroffen, weil diese oft zwar technisch gesehen noch urheberrechtlich geschützte Spiele zur Verfügung stellen (auch im Bereich Software gilt eine Schutzdauer von 70 Jahren nach dem Tod des Autors), die Spiele aber so alt und obsolet sind, dass es sehr unwahrscheinlich ist, dass sich die Rechteinhaber beschweren.

“Niemandem entsteht ein wirtschaftlicher Schaden, wenn auf solchen Plattformen Spiele geteilt werden, die gar nicht mehr kommerziell auf dem Markt erhältlich sind. Dennoch wären solche Plattformen mit Artikel 13 unmittelbar für die Urheberrechtsverletzungen ihrer Nutzer*innen haftbar und würden damit ein großes wirtschaftliches Risiko eingehen – und sie könnten zum Einsatz von Uploadfiltern gezwungen werden.”Julia Reda

Wir organisieren deshalb gemeinsam mit anderen Gruppenn von Parteien, Bündnissen und Einzelpersonen europaweite Proteste gegen die Einführung von Uploadfiltern sowie eines europäischen Leistungsschutzrechtes. Am 26. August sind derzeit Demonstrationen in 20 europäischen Städten geplant, darunter Berlin, Hamburg, München, Paris und Stuttgart. Eine Übersicht über alle Demonstrationen kann man auf einer eigens eingerichteten Karte finden.

Kategorien: Blogs

Piraten Offenburg: Aufruf zur Fortsetzung der Proteste gegen Uploadfilter in Stuttgart und ganz Europa

Blogs - 23 August, 2018 - 06:38

Wie angekündigt mobilisieren die Piratenpartei und verschiedene andere Gruppen von Parteien, Bündnissen und Einzelpersonen europaweite Proteste gegen die Einführung von Uploadfiltern sowie eines europäischen Leistungsschutzrechtes. Am 26. August sind derzeit Demonstrationen in 20 europäischen Städten geplant, darunter Berlin, Hamburg, München, Paris und Stuttgart. Eine Übersicht über alle Demonstrationen kann man auf einer eigens eingerichteten Open-Street-Map finden.

“Vor einem Monat haben wir Geschichte geschrieben: Wir haben ein Gesetz aufgehalten, das unsere Meinungsfreiheit massiv eingeschränkt hätte. Es war eine noch nie dagewesene Niederlage für mächtige Lobbys, die stets auf eine weitere Verschärfung des Urheberrechts pochen.”Julia Reda

Nach der Abstimmung im Juli werden die Inhalte des Gesetzesentwurfs nun neu verhandelt. Im September wird es deshalb erneut zu Abstimmungen im EU-Parlament kommen, bei denen wieder Uploadfilter und Leistungsschutzrecht zur Debatte stehen werden. Die Piratenpartei will deshalb auch in Baden-Württemberg erneut zu Protesten aufrufen.

Die Öffentlichkeit hat mit fast einer Million Unterschriften deutlich gezeigt, dass sie Uploadfilter und Linksteuer ablehnt. Nun werden wir diesen Protest erneut auf die Straße bringen. Deshalb werden wir am 26.08 auf dem Marienplatz in Stuttgart stehen und zeigen, was wir von diesen unangemessenen Eingriffen in die Grundrechte jedes Einzelnen halten. Durch den öffentlichen Druck konnten wir die erste Abstimmung gewinnen. Diesen Erfolg werden wir im September hoffentlich wiederholen!”Michael Knödler

Weitere Informationen
Kategorien: Blogs

Pirat Aleks A.: Interessante Links und Nachrichten 13.08.2018ff

Blogs - 19 August, 2018 - 20:30
Kategorien: Blogs

Alltägliche Wahrheiten: Scheibchenweise, weil es sonst zu viel ist

Blogs - 18 August, 2018 - 14:50

Nach über 20 Monaten bin ich also mal wieder in meinem Blog unterwegs. In meinem Leben ist seit Januar 2017 so viel passiert, dass ein Blogpost dafür einfach nicht geht. Dafür hat sich zu viel geändert – äußerlich wie innerlich.

Ich zäume das Pferd mal von hinten auf und beginne damit, Euch mitzuteilen, dass ich seit ein paar Tagen so etwas wie eine digitale Frischzellenkur erlebe. Wegen der mittlerweile ja unerträglichen Policy von Twitter bin ich auf eine Fediverse-Instanz umgezogen. Genau gesagt bin ich nun auf einer Mastodon-Instanz zu Hause und dort unter erreichbar. De facto hat Twitter seine API für Drittanbieter geschlossen, denn die horrenden Gebühren – umgerechnet für Tweetbot-Nutzer 16 US-Dollar monatlich – sind unbezahlbar. Ich hatte von Twitter ohnehin schon lange die Faxen dicke. Die Timeline lief nicht mehr chronologisch, Bots zuhauf, Nazis mit Pöbellizenz, Werbung, Willkür usw. machten den Aufenthalt dort seit lange schon mehr unangenehm als Informationen vermittelnd. Bis vor zwei Wochen wusste ich nicht, dass es für all das eine tolle Alternative gibt, die in Userhand dezentral aufgestellt und doch miteinander per Open Source verknüpft funktioniert.

Vom ersten „Toot“ (Name für Tweet), den ich „getrötet“ (Name für „twittern“) habe, bis jetzt ging es dort sehr freundlich, sehr hilfsbereit und sehr respektvoll zu. Dass ich über 3.200 Follower auf Twitter aufgebe, um wie vor neun Jahren komplett neu anzufangen in einem Social Media-Kanal, fiel mir wahrlich nicht leicht. Das hat ja auch etwas mit gefühlter Bedeutsamkeit und angenommener Reichweite zu tun – andere nennen es Eitelkeit (und sie haben Recht!). Innerhalb von drei Tagen fanden 53 Menschen meine Toots interessant genug, um mir zu folgen. Umgekehrt folge ich 78 Menschen. Weil jedoch in meiner lokalen Timeline viele andere Menschen unterwegs sind, die sehr unterschiedliche Interessen haben und von überall her kommen, breche ich gerade aus meiner alten Filterbubble aus. Das ist etwas, von dem ich in dieser Qualität genauso überrascht wie angetan bin. Einer meiner ersten Toots bringt es, wie ich glaube, auf den Punkt:

Viele aus meiner alten Twitter-TL sind schon zu einer der Fediverse-Instanzen gewechselt. Wir haben Spaß und freuen uns auf Euch!!!

Kategorien: Blogs
Inhalt abgleichen