Marode Sicherheiten hinter dem Security-Zaun

Vor einiger Zeit hatte ich überlegt, was geschieht, wenn Daten in der Cloud verschwinden. Google betreibt eine der größten Clouds weltweit und hat nun zur Reputations- und Vertrauenssteigerung ein Video produziert, das zeigt, wie sicher die Daten bei Google aufgehoben sind:

Das Video hebt vor allem auf die physische Sicherheit der Rechenzentren ab. Die Bilder des Festplattenstanzers sind wirklich recht nett.

Auch wird betont, dass die Daten auf den Festplatten verschlüsselt werden, damit sie nicht von Menschen eingesehen werden. Das suggeriert, dass die Daten vertraulich wären. Sind sie aber nicht. Google behält sich nämlich in seinen AGB vor, die Daten maschinell auszuwerten.

Die logische Sicherheit wird leider nicht weiter thematisiert – wie sicher ist schon die Verschlüsselung der SSL-Verbindungen, wenn das SSL-Zertifikatssystem so marode ist. Das betrifft aber nicht Google allein, sondern alle Cloudanbieter.

 

Ushahidi: wissen, was wo in Japan passiert

Stündlich, minütlich ändert sich in Japan jetzt die Lage. Für die Betroffenen sind Nachrichten über das Atomkraftwerk Fukushima-1 wichtig, noch wichtiger sind jedoch Informationen darüber, wo sie in ihrer Umgebung am schnellsten Hilfe finden. Wo gibt es Unterkunft, wo gibt es etwas zu essen?

In Japan wurde nun die Ushahidi-Plattform aufgesetzt, um den Katastrophenopfern zu helfen. Ushahidi wurde 2008 in Kenia entwickelt, um die Unruhen nach den Wahlen zu dokumentieren. Das Wort bedeutet „Zeuge“ und die Plattform hat es sich zur Aufgabe gemacht, lokale Entwicklungen zu dokumentieren. Jeder Bürger kann mit seinem Handy Informationen beitragen.

Die Daten werden im Crowdsourcing-Verfahren von vielen Freiwilligen erhoben und in verschiedene Kategorien wie etwa „Vertrauenswürdige Berichte“, „Zustand der Infrastruktur“, „Versorgung“, „Gefahrenzone“ oder „Andere Sprachen“ eingeordnet. Aber auch Daten des Wetterdienstes zu den neuesten Erdbeben werden automatisiert eingelesen. Das ist wichtig, da es nahezu ununterbrochen zu mehr oder weniger schweren Nachbeben kommt. So kann Hilfe geleistet – aber auch ein minutiöser Überblick über die Entwicklung behalten werden:

Die Ushahidi-Daten können wiederum über offene Schnittstellen in andere Dienste importiert werden, zum Beispiel in diese Krisenkarte des Geodatenunternehmens Esri, die die Daten in einem Mashup zusammen mit RSS-Nachrichtentickern, Erdbebendaten, Twitter- und Youtubeinformationen anzeigt. Die Youtube-Einträge sind allerdings in vielen Fällen nicht treffend lokalisiert, auch die Nachrichtenmeldungen passen noch nicht ganz. Dafür dass die Karte aber erst vor wenigen Tagen eingerichtet wurde, bietet sie eine gute Orientierung.

Ein Klick auf den Link, der in die oben ausgewählten Ushahidi-Meldung eingefügt wurde, führt beispielsweise weiter zu einem Mobildienst, der über die Einbindung von GoogleMaps anzeigt, an welchen Orten es Verpflegung und Unterkunft gibt:

 

Notruf aus Libyen

Die Lage in Libyen ändert sich derzeit stündlich. Ein Gebäude des Staatsfernsehens soll geplündert worden sein, das Gebäude des Volkskongresses wurde am Wochenende von Aufständischen niedergebrannt. Während das libysche Staatsfernsehen jubelnde Gaddafi-Unterstützer zeigt und ruhige Straßen, werden in Youtube Handyvideos über Straßenschlachten, Tote und brennende Autos hochgeladen.  Al Dschasira greift für seine Berichterstattung hauptsächlich auf Handyvideos zurück. Die laufende Berichterstattung lässt sich übrigens auch im Internet, unter anderem auch bei Facebook verfolgen.

Bereits vergangenen Freitag wurde das libyische Internet mehrere Stunden lang abgeschaltet. Der Netzwerkdienst Facebook soll gar nicht mehr erreichbar gewesen sein. Seitdem die Verbindung am Wochenende wiederhergestellt war, berichteten zahlreiche Twitter-Nutzer über die aktuellen Vorgänge. Ein Twitter-Nutzer namens @Arasmus pflegt aus seiner Sicht vertrauenswürdige Nachrichten in eine GoogleMaps-Karte ein. Sie zeigt, wo es wie viele Verletzte und Tote gegeben hat. Es ist eine Art Katastrophenmanagement „von unten“.

Eine automatisiert aktualisierte Karte hält Arasmus für zu gefährlich: „The danger of an automatic map is that you will reveal too much information too soon and put protestors in danger.“ Vielleicht aber ist sogar eine handgepflegte Karte zu riskant. Seit heute morgen gibt es keine Updates mehr. Ein Twitter-Hashtag, der viele relevante Tweets verbindet, ist übrigens #feb17.


View Mapping Violence Against Pro-Democracy Protests in Libya in a larger map

 

Null bis neunzig Tage

Beim Streit um Vorratsdatenspeicherung und Quick Freeze bemängeln die Ermittler derzeit immer, die Internetanbieter würden viel zu kurz IP-Adressen ihrer Kunden speichern. Aber wie lange speichern sie eigentlich?

Die Antwort gibt es hier:

D-Takt = 7 Tage
T-Mobile D 1 = 30 Tage
Vodaphone überhaupt nicht
E-Plus = 90 Tage
Telefonica Deutschland = 21 Tage
Arcor überhaupt nicht
Hanse Net überhaupt nicht
M-Net = 3 Tage
Freenet überhaupt nicht
AOL = 5 Tage
1 & 1 = 60 Tage
Net Cologne = 4 Tage
Versatel Deutschland = 3 Tage

via AK Vorrat, wo es das Ganze noch ausführlicher gibt

 

Streumunition als „abstrakte Rechtsfrage“

Im August wurde bekannt, dass der Mutterkonzern des Herstellers L-3 Communications geächtete Streubomben produziert. Pikant war das vor allem deshalb, weil L-3 Communications auch die Körperscanner herstellt, die im sechsmonatigen Probelauf am Hamburger Flughafen im Auftrag des Bundesinnenministeriums eingesetzt werden.

Das Innenministerium versprach zu prüfen, ob die Verträge gekündigt werden. Während der norwegische Staatsfonds bewusst nicht in L-3 Communications investiert, weil die Firma Waffen produziere, die „durch ihren üblichen Einsatz fundamentale humanitäre Prinzipien verletzen könnten“, gibt es in Deutschland kein behördliches Verfahren, das Investitionen nach bestimmten Kriterien prüfen und bewerten würde.

Dies sei auch nicht notwendig, erklärte jetzt die Bundesregierung in einer Antwort auf eine kleine Anfrage der LINKEN, da das Übereinkommen über Streumunition Investitionen in Unternehmen, die Streumunition herstellen und entwickeln, nicht ausdrücklich verbietet. Sie habe sich jedoch für die Zeit nach dem 1. August 2010 vergewissert, dass das Unternehmen keine Streumunition im Sinne der am 1. August 2010 in Kraft getretenen Osloer Konvention herstellt:

Der Lieferant der Körperscanner, EAS Envimet GmbH, und auch der Hersteller L-3 Communications, haben schriftliche Erklärungen abgegeben, keine Streumunition im Sinne des Übereinkommens zu entwickeln, herzustellen oder damit zu handeln.

Der Zeitraum vor dem 1. August, in dem der Vertrag verhandelt wurde, interessiert demnach nicht mehr. Und ohne den öffentlichen Druck hätte man vermutlich erst gar nicht geprüft. Denn entsprechende Kriterien gibt es noch immer nicht in öffentlichen Ausschreibungen. Alles weitere sind daher für die Bundesregierung „abstrakte Rechtsfragen“

 

Street-View-blurmany

Zwei Links zum Start von Google Street View in Deutschland:

Thomas Knüwer über den Ort Oberstaufen, den bis eben noch kaum einer kannte: „Denn während in diesem Sommer Kommunalpolitiker in der ganzen Republik über Google Streetview tobten, benahmen sich die Entscheider in Oberstaufen weniger alarmistisch. Sie erkannten eine Chance: Wenn Menschen sich ein Bild vom Ort machen können, reisen sie vielleicht her.“

Und Jeff Jarvis über den gleichen kleinen Ort und das deutsche“Verpixelungsrecht“: „Now you can drive to Oberstaufen and stand across the street — between the Edele bookstore and Dr. Fassnacht’s building — and look at the building all you want because you would be exercising your right to be in public. But not online, not in the land of Deutschnet, you can’t. Germany has now diminished the public. It has stolen from the public.“

Na, wenigstens hat das hysterische Bilderlöschen Deutschland bei Twitter einen eigenen Hashtag eingebracht: blurmany

 

Es muss nicht immer Street View sein …

Die Nokia-Tochter Navteq will noch in diesem Jahr in Frankreich und Großbritannien mit der Erfassung von Straßenzügen für eine eigene Streetview-Variante beginnen. /via

Microsoft bietet mit Bing Streetside Häuserfronten in Panorama-Ansicht in diversen US-Städten. Der neue Prototyp Street Slide soll die Häuseransicht aus verschiedenen Perspektiven über eine schnelle mobile Anwendung ermöglichen. /via

Panogate zeigt mit dem Dienst Sightwalk Panorama-Bilder von ausgewählten Stellen in Bonn, Berlin, Düsseldorf, Hamburg, Köln, München und Stuttgart.

NORC liefert Straßenansichten in ausgewählten Städten für Österreich, Polen, Tschechien, Rumänien, Russland, die Slowakei und Ungarn.

Übrigens: Google StreetView könnte künftig auf Kamerafahrten verzichten: Google Maps verwendet jetzt schon für ausgewählte Sehenswürdigkeiten Bilder der Fotodienste Flickr, Panoramio und Picasa für die Konstruktion dreidimensionaler Ansichten aus verschiedenen Perspektiven. Google muss also nur auf den Fleiß vieler Hobbyfotografen setzen.
Hier ein Beispiel aus Seattle:

/via/via

 

Bye bye Pseudonymität

Das Wall Street Journal hat beispielhaft die Aktivitäten eines kalifornischen Unternehmens namens Rapleaf recherchiert und in Infografiken aufgearbeitet. Diese zeigen, wie Rapleaf aus zahlreichen verschiedenen Datenschnipseln – gemeinhin auch als Cookies bekannt – Persönlichkeitsprofile erstellen kann und an Werbetreibende verkauft. Brisant ist das deshalb, weil die Firma in der Lage ist, diese Daten auch dank Sozialer Netzwerke wie Facebook mit den Realnamen und den E-Mailadressen der Nutzer zu verknüpfen. Bye bye Pseuonymität.

Laut Angaben von Rapleaf werden jedoch keine Daten an Dritte weitergegeben, die mit dem Realnamen verbunden sind. Fraglich ist, ob das nur eine Schutzbehauptung ist.

Wie heikel ist dieses Vorgehen? Neu ist wohl die Verknüpfung der gesammelten Daten mit Realnamen. Dennoch wird das Datenschützer kaum überraschen, da sie schon seit Jahren vor dem Erstellen umfassender Persönlichkeitsprofile durch Cookies warnen. Cookies legen Anbieter auf den Computern von Internetnutzern jedesmal ab, wenn sie bestimmte Webseiten besuchen. Der Nutzer kann diese in seinem Browser löschen oder auch einstellen, dass sein Rechner sie erst gar nicht annimmt. Doch einerseits tun das längst nicht alle Nutzer.

Andererseits könnte es künftig nicht mehr möglich sein: Wie erst kürzlich der polnische Programmierer Samy Kankar zeigte, lässt sich mit dem künftigen Webstandard HTML5 ein so genanntes Evercookie kreiieren, dass sich zumindest zurzeit nicht mehr mit einem Knopfdruck löschen lässt. Derzeit benötigt ein erfahrener Nutzer mehrere Schritte, um das „ewige Cookie“ wieder los zu werden.

Kankar arbeitet bereits, wie er mir heute per E-Mail sagte, an der nächsten Cookie-Generation. Dann müssen Cookies gar nicht mehr auf den Rechner des Nutzers abgelegt werden, da die Website-Betreiber ihre Besucher anhand der Hardwaredaten ihrer Internetgeräte erkennen können.

Kankar ist übrigens nicht im Auftrag von irgendwelchen Werbefirmen kreativ, sondern will auf mögliche Gefahren von HTML5 hinweisen, damit Browser-Entwickler Nutzern auch künftig die Möglichkeit einräumen können, ihre Privatsphäre selbst zu kontrollieren.

 

Was sie wissen

What they know heißt eine Seite im Internetangebot des Wall Street Journals und sie zeigt eine komplexe Grafik, welche Unternehmen wo Daten von Konsumenten sammeln und welche Einflussmöglichkeiten die Betroffenen darauf haben.

Dazu gibt es einen Text, wie Daten von Netzwerken wie Facebook ausgelesen und ausgewertet werden: Scrapers

 

Fragen Sie den Minister

Am 20. September diskutiert Innenminister Thomas de Maizère mit Experten über die „Digitalisierung von Stadt und Land“, vulgo Street View. Wer will, kann dabei mitmachen. Indirekt zumindest. Bis zum 14. September könne jeder Bürger Fragen dazu einreichen, schreibt das Innenministerium. Hier. Die Fragen können anschließend von anderen Lesern bewertet werden. Die mit der höchsten Punktzahl will de Maizère dann in einer Videobotschaft beantworten.

Das ist nett. Die Chance, dass Inhalte der Fragen etwas verändern, ist jedoch wohl eher gering. Immerhin gibt es schon eine fertige Gesetzesvorlage zu dem Thema von den Bundesländern. Die hier.

Und auch die Bundesregierung hat schon eine ziemlich klare Meinung zu dem Thema. Sie lautet: „Eine gesetzliche Regelung müsse einen ausgewogenen Ausgleich zwischen den Interessen des Datenschutzes einerseits sowie wirtschaftlichen Interessen und der grundsätzlich möglichst uneingeschränkten Nutzung des Internets andererseits gewährleisten.“ Nur ein Punkt kann demnach überhaupt ein Google-Gesetz rechtfertigen: die „Gefährdung des Rechts auf informationelle Selbstbestimmung“. Die ist bei Street View wohl eher nicht gegeben. Es sei denn, man betrachtet Hausfassaden als personenbezogene Daten.

Entweder also ist ein Gesetz schon fertig, oder es wird gar keines geben. Da können die Bürger fragen, so viel sie wollen.