not chosen, yet - Sicherheit und Datenschutz

Freispruch für Alvar Freude

blog@plan-ix.de (ab) — Wed, 15 Jun 2005 22:08:05 +0200

wie unter anderen auch der Heise-Ticker berichtet, wurde Alvar Freude in zweiter Instanz freigesprochen.

Das Urteil an sich ist schon begrüßenswert; noch begrüßenswerter wäre es, wenn die Staatsanwaltschaft die Rüffel der Richter ernstnähme und folgerichtig auf eine weitere Revision verzichten würde.

Wiefelspütz rechts überholend und links spitzelnd

blog@plan-ix.de (ab) — Mon, 28 Mar 2005 23:46:47 +0200

... wenn ich mich recht erinnere, mochte ich Herrn Wiefelspützens politische An- und Einsichten schon nicht, als er in meiner alten Heimatstadt Lünen noch kommunalpolitisch aktiv war.

Laut seiner Webseite im Rahmen der Web-Präsenz des Deutschen Bundestages “fühlt er sich allen Lüner Bürgerinnen und Bürgern in besonderem Maße verpflichtet”.

Diese Verpflichtung reicht so weit, dass er eben diese seine Wähler unter den (derzeit ja recht populären) Generalverdacht des Terrorismus stellt. Er würde unter diesem Vorwand gerne weitreichende Einschränkungen des Rechts auf informationelle Selbstbestimmung installieren, die über das, was man bisher von rot-grünen Innenpolitikern vernahm, weit hinausgehen. Laut einem Artikel vom 28. März und einem begleitendem Interview der Frankfurter Rundschau hält er das jüngst eingeführte Verfahren zum Zugriff auf Kontendaten für “sehr aufwändig, sehr bürokratisch”. Er ist der Meinung, dass es “vereinfacht” werden müsse. Wiefelspütz weiter: “Es ist doch unbestritten, dass Terroristen durch Geld- und Reisebewegungen entscheidende Spuren hinterlassen. Deshalb muss man diese beiden Datenfelder für die Geheimdienste besser erschließen.” Daher sei es wichtig, dass Geheimdienste nicht nur bei Fluggesellschaften, sondern auch bei Reisebüros, Autovermietungen etc. möglichst einfach auf Buchungsdaten zugreifen könnten.

Auf die schon zynisch zu nennende Frage des FR-Redakteurs, ob nicht gleich auch Rabattkartendaten, Informationen aus der einzuführenden elektronischen Gesundheitskarte einzubeziehen seien oder Bewegungsprofile aus dem Maut-System erstellt werden könnten, antwortet D. Wiefelspütz, dass die Grenze erst dann erreicht sei, wenn man über “Folter, Todesstrafe” oder “rechtsfreie Räume wie Guantanamo” diskutiere; die Würde des Menschen sei unantastbar.

Warum wird mir bei bei solchen Sprüchen nur speiübel? Mag das eventuell daran liegen, dass die BRD bislang den Eindruck erweckte, ihrer Bevölkerung etwas mehr als die Gewährung der nackten Menschenwürde zu bieten und man nun offenbar daran denkt, ganze Teile der “freiheitlich demokratischen Grundordnung” nach und nach immer weiter zu untergraben und auszuhöhlen? Die Herren Schily, Wiefelspütz etc. pp. werden einiges tun müssen, um diesen Verdacht zu entkräften, denn D. Wiefelspütz meint: “In dem Feld davor muss es möglich sein, immer wieder aufs Neue die Instrumente zu diskutieren, da darf es keine Denkverbote und keine Tabus geben.”

Auskunft über ISP-Kundendaten ohne richterliche Anordnung?

blog@plan-ix.de (ab) — Sun, 6 Mar 2005 16:35:44 +0100

Der Heise-Ticker berichtet darüber, dass ISPs den Ermittlungsbehörden Name und Anschrift von Kunden mitteilen müssten, sobald diese im Rahmen der Ermittlungen eine (dynamisch zugewiesene) IP-Adresse verbunden mit einer Zeitangabe in Erfahrung gebracht haben. Dies ginge (laut einem in der Fachzeitschrift “Neue Juristische Wochenschrift” (Ausgabe 9/2005) erschienenem Artikel) aus einem Urteil des Landgerichts Stuttgart (Az.: 13 Qs 89/04) hervor.

Das Landgericht Stuttgart bestätigte die Auffassung des Amtsgerichts Stuttgart, dass eine dynamisch zugewiesene IP-Adresse in Verbindung mit einer Uhrzeit einen Teilnehmer eindeutig identifiziere und diese Information als Bestandsdatum zu bewerten sei. Auskünfte zu Bestandsdaten kann die Staatsanwaltschaft im Rahmen von Ermittlungsverfahren (Verdacht auf Vorliegen einer Straftat) auch ohne richterliche Anordnung einholen (Paragraf 113 TKG). Bislang verbreitet war die Ansicht, dass es sich bei dynamisch zugewiesenen (und sich damit von “Einwahl zu Einwahl” ändernden) IP-Adressen um Verbindungsdaten handelt.

Die Einstufung als “Bestandsdatum” halte ich persönlich für “kreativ” und gleichermaßen interessant. Interessant deswegen, weil die dynamischen IP-Adressen dann ja wohl kaum im Rahmen einer Vorratsspeicherung von “Verbindungsdaten” festzuhalten wären.

Datenschutzrechtlich halte ich die Speicherung von dynamisch zugeweisenen IP-Adressen grundsätzlich für fragwürdig. Meines Erachtens verstößt eine solche Speicherung (in Logfiles, Accounting-Daten, etc. pp.) gegen den Grundsatz der Datensparsamkeit. Zu Abrechnungszwecken dürften die IP-Adressen nur in den seltensten Fällen tatsächlich benötigt werden (dies wüde eine Speicherung rechtfertigen). Ein Großteil (um die Allaussage zu vermeiden) der ISPs verwendet für die Abrechnung von Datenvolumina und Online-Zeiten Informationen aus dem Radius-Accounting; und diese beziehen sich – ganz ohne Notwendigkeit, eine IP-Adresse zu kennen – auf einen eindeutig identifizierten Benutzer(-Account).

Folgerichtig haben dynamisch zugewiesene IP-Adressen in mittel- und langfristig gespeicherten Logfiles und Accounting-Daten nichts zu suchen.

SHA-1 gebrochen ... was nun?

blog@plan-ix.de (ab) — Wed, 16 Feb 2005 08:36:53 +0100

Bruce Schneier berichtet in einem Blog-Artikel, dass SHA-1 von einem Team (Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu) der chinesichen Shandong-Universität gebrochen worden sei.

In 2⁶⁹ Hash-Operationen seien für den vollen SHA-1 Algorithmus Kollisionen erzeugbar. Im Vergleich zu 2⁸⁰ Hash-Operationen fü einen Brute-Force-Angriff bedeutet das einen deutlich geringeren Aufwand.

Laut Schneier wird die Brauchbarkeit von SHA-1 als Hash-Funktion für kryptographische Schlüssel deutlich gesenkt (“It pretty much puts a bullet into SHA-1”).

Damit wird der Vorrat an brauchbaren Hash-Algorithmen langsam dünn.