Best of 28C3 – Teil 1

Der 28C3 ist vorbei. Ich war ja nicht da, also werde ich mir jetzt einen Haufen Vorträge die nächsten Wochen reinziehen (aber nicht alle). Die Videos gibt es auf dem CCC-FTP oder beim FEM als Downloads & Torrents, ich schreibe hier mal was zu den bisher geguckten Videos. Zweiter Best-of-Teil folgt dann später. :-)

4675 – “Die Koalition setzt sich aber aktiv und ernsthaft dafür ein”
Martin Haase hat sich mal wieder die Reden von Politikern angeguckt, diesmal geht es nicht um Neusprech sondern um die Nebelkerzen von Politikern. Einfach mal wieder super gemacht und sehr spaßig.

4738 – Echtes Netz
Markus Beckedahl und Falk Lücke stellen die Kampagne “Echtes Netz” vor, die von der Digitalen Gesellschaft e.V. im nächsten Jahr gestartet wird.

4740 – Frag den Staat
Vorstellung der Seite fragdenstaat.de, über die man Informationsfreiheit-Anfragen an Behörden stellen kann. Wirklich ein sehr nützliches Projekt, vorallem bei den Beispielen wie die Behörden teilweise ablehnen reagieren und Frag den Staat dann dort hinterherhakt. Außerdem wollen die Jungs die Berichte des Wissenschaftlichen Dienstes befreien, super!

4799 – Can trains be hacked?
Können Eisenbahnen gehacked werden? Darum geht es in diesem Talk, der veranschaulicht, welche Technik die Deutsche Bahn nutzt. Überwiegend geht es aber um die generelle Infrastruktur in Sachen Eisenbahn-Technik, aber natürlich werden Sicherheitsprobleme angesprochen – auch was die Zukunft betrifft. Sehr interessant.

4804 – Politik hacken
Mehrere Beispiele, wie man die Politik hacken kann: Falschinformationen streuen, Fake-Twitter-Accounts und so weiter. Hat der Linus gut gemacht. ;-)

4866 – Fnord Jahresrückblick
Wie in jedem Jahr blicken Fefe und Frank auf ein ereignisvolles Jahr zurück, diesmal gibt es am Anfang ein cooles Intro aber auch ein paar Tonprobleme.

4869 – TRESOR
Festplatten-Verschlüsselung ist gut, sagt man. Stimmt aber nicht ganz, denn auch bei TrueCrypt und Co. gibt es Angriffsszenarien: Wenn der Verschlüsslungs-Key nämlich im RAM gespeichert wird, kann dieser unter bestimmten Vorraussetzungen ausgelesen werden. TRESOR ist nun eine Verschlüsselungsmethode, mit der der Key im CPU gespeichert wird und somit nicht mehr angegriffen kann. Sehr interessant sind auch die Zukunftsvisionen, die teilweise schon umgesetzt sind.

4876 – Sachsen dreht frei
Anne Roth zeigt, was bei #Handygate in Sachsen passiert ist. Sehr interessant, vorallem weil das Nicht-Verfolgen von Nazis in Saschsen scheinbar Methode hat, wie ein Kontraste-Interview mit einem Justiz-Pressesprecher in dem Vortrag zeigt. Schönster Satz dazu, dass die Busfahrer von Anti-Nazi-Demonstranten eine Menge über ihre Fahrgäste mit einem Fragebogen der Landesregierung Sachsen ausplaudern sollten: “Das finden auch einige seit der Wende eher ungewöhnlich.” :-)

4908 – Jahresrückblick
Wie jedes Jahr der Rückblick, was der CCC gemacht hat. Teilweise lustig und durchaus interessant, nochmal die Aktivitäten aber auch Fails Revue passieren zu lassen. Die zentrale Message lautet: Mehr Dezentralisierung, das gilt nicht nur für die Jabber-Server sondern auch für neue Erfas. Auch Spenden an den CCC sind bei den Erfas besser aufgehoben.

Besucherdaten der SPD Sachsen offen im Netz

Bei der SPD in Sachsen (spd-sachsen.de, spdsachsen.de und spd-fraktion-sachsen.de sowie alle Subdomains dort, die Drupal ebenfalls nutzen) sind die Besucherstatistiken offen im Internet erreichbar. Browsertyp, IP-Adresse und mehr. Die Daten reichen bis in Mitte 2009(!) zurück.

Deren IT war sogar zu doof, die Indexierung auszuschalten (auf allen Seiten). m(

Und die SPD fordert eine Vorrats… äh Mindestdatenspeicherung. 2009, das sind 3(!!!) Jahre. Unfassbar. Der arme Datenschutzbeauftragte in Sachsen, nach der Polizei-Sammelwut muss der sich jetzt auch noch um die SPD kümmern. Vielleicht sollte man da mal direkt noch einen zweiten Datenschutzbeauftragten ernennen. Ich will gar nicht wissen, wer da noch in Sachsen unrechtmäßig auf riesigen Datenbergen sitzt.

Rasterfahndung in Dresden weitet sich aus

Die Rasterfahndung bei der Anti-Nazi-Demo in Dresden weitet sich aus, ganz Dresden wurde überwacht – auch die Stadtteile, in denen kein einziger Demonstrant war.

In Sachsen scheint die Datensammelwut ja richtig enorm zu sein, ich erinnere auch nochmal an die OBI-Einkäufe. Das sollte einen Spezial-Big-Brother-Award für Sachsens Innenminister Markus Ulbig (CDU, was sonst wenn es um Überwachung geht) und Sachsens Justizminister Jürgen Martens (FDP, die “Bürgerrechtspartei”, haha!) geben.

LKA Sachsen wertet OBI-Kunden-Einkäufe aus

Das Landeskriminalamt Sachsen katapultiert sich auch gerade in einen Datenskandel. Die Überwachung am 19. Februar war nur der Anfang:

Nach Informationen der MDR Recherche-Redaktion werden seit 2009 tausende Kundendaten der Baumarktkette OBI sowie zehntausende Mobilfunkdaten aus dem Bereich der Dresdner Neustadt beim Sächsischen Landeskriminalamt gespeichert und ausgewertet. Hintergrund ist der Brandanschlag auf Bundeswehrfahrzeuge in der Dresdner Alberstadtkaserne am 12. April 2009.

Nach MDR-Recherchen wurde bei der Suche nach den vermutlich linksextremen Tätern das computergestützte Datenabgleichsystem EFAS eingesetzt. Dieses damals neuartige System ermöglicht den Abgleich von Kundendaten der gespeicherten Mobilfunknutzern mit denen von OBI-Baumarkt-Kunden. Dafür wurden insgesamt 162.000 Einkaufsjournale der Baumarktkette beschlagnahmt und in das Ermittlungssystem gespeist und abgeglichen. Diese Daten sind auch drei Jahre nach dem Brandanschlag und einem bisher ausbleibenden Ermittlungserfolg noch immer im System und wurden nicht gelöscht.

Das ist sehr bemerkenswert:

1. Die Polizei kann Einkaufsprofile(!) von Kunden beschlagnahmen. Wer also immernoch die beliebte Kundenkarte nutzt, sollte sich das zwei Mal überlegen, nicht dass man hinterher wegen einem Spiritus-Einkauf für den heimischen Grill gleich einer Brandstiftung verdächtigt wird. Auch bei Amazon und Co. sollte man sich zwei Mal überlegen, was man dort kauft. Traurig, dass wir mittlerweile so weit gekommen sind.

2. Die Daten, nachdem sie schonmal da sind, sind nach drei Jahren immernoch nicht gelöscht. Man kann davon ausgehen, dass die Auswertung schon lange vorbei ist (sicher ist das aber nicht, vielleicht arbeiten die auch immernoch an der Auswertung, während die Täter schon lange weg sind…).

3. Der Fahndungserfolg durch diese Methode ist bislang gleich null.

Dabei darf man nicht vergessen: Bei dem Brandanschlag wurden ca. 40 Bundeswehrfahrzeuge verbrannt, Schaden ca. 3 Millionen Euro. Das ist viel Geld und die Tat ist keinesfalls gutzuheißen, ob das jedoch einen so dermaßen großen Eingriff in die Privatsphäre rechtfertig, ist fragwürdig.

Scheinbar wird das jetzt aber wirklich zum System. Noch ein Grund mehr, weiterhin gegen Vorratsdatenspeicherung und “Antiterrorgesetze”, die der Polizei einen Vielzahl an solchen Datensammel-Möglichkeiten einräumt, zu kämpfen.

Rasterfahndung bei Demonstrationen

Wer heutzutage demonstrieren geht, sollte sein Handy lieber zu Hause lassen. Es könnte nämlich sein, dass die Polizei mal eben sämtliche Handydaten (samt Telefonaten und SMS) stundenlang am Demo-Ort überwacht. So geschehen bei der Anti-Nazi-Demo am 19. Februar in Dresden.

Eine solche Rasterfahndung ist rechtlich natürlich keineswegs haltbar, zumal dort auch Anwälte, Journalisten und der Bundestagsabgeordneter Hans-Christian Ströbele von den Grünen waren, die mit abgehört wurden und die besonderen Schutz genießen. Der Polizei scheint dies egal zu sein, nicht aber der Staatsanwaltschaft:

Offiziell sollten mit dieser groß angelegten Überwachungsaktion Personen gefunden werden, die zuvor Polizisten angegriffen hatten. In mehreren Fällen wurden die Handydaten aber für andere Ermittlungen zweckentfremdet.

[...]

Dass diese Zweckentfremdung juristisch nicht haltbar sein wird, hat auch die Staatsanwaltschaft inzwischen erkannt. “Die Polizei hat die Daten etwa im Fall von Herr Leye in die Akten übernommen. Wir halten das für nicht notwendig und nicht verwertbar”, sagt Haase. Seine Behörde hat vergangene Woche den Ermittlern der Polizei untersagt, weiterhin Handydaten in entsprechende Ermittlungsakten zu übernehmen.

Interessant ist auch, dass der zuständige Oberstaatsanwalt sich u.a. nicht dazu äußern will, ob die Daten noch gespeichert sind. Aus obrigen kann man sich aber denken, dass die Polizei die Daten immernoch auswertet – vier Monate nach der Demonstration.

Ich hoffe, dass die dort mal gegen die Rasterfahndung vor Gericht gehen, notfalls bis zum Bundesverfassungsgericht. Das sieht nämlich sehr verfassungswidrig aus (zumal die Polizei Drohnen im Einsatz hatte) und so ein Grundsatz-Urteil wäre sicherlich nicht das Schlechteste.