Kommentar: Deutsche Gesetze machen E-Mails auch nicht sicherer

MDR INFO, 19.07.13
–> Kommentar anhören

Einmal im Jahr geht die Bundeskanzlerin schon fast traditionell vor die Presse, kurz bevor sie auf Urlaub fährt. Heute Morgen war es wieder soweit. Und im Mittelpunkt der Bundespressekonferenz standen Prism und NSA – also die us-amerikanische Spähaffäre.

“Auf deutschen Boden hat man sich an deutsches Recht zu halten.” – mehrmals taucht dieser Satz bei Angela Merkel heute auf. Das durchzusetzen, darin sehe sie ihre Aufgabe als Bundeskanzlerin, sagt sie vor der Bundespressekonferenz. Ein deutlicher Hinweis in Richtung USA, die unter dem Verdacht stehen, Deutschlands E-Mail- und Internet-Verkehr ausgespäht zu haben. Das ist wichtig. Und offenbar auch ein deutlicher Hinweis an Bundesinnenminister Hans-Peter Friedrich, den sie erst auf Nachfrage namentlich erwähnt. Er hatte nach seiner USA-Reise vor drei Tage noch festgestellt, alles sei rechtens und die deutschen Bürger sollten sich selbst um mehr Datensicherheit kümmern.
“Auf deutschen Boden hat man sich an deutsches Recht zu halten.” – dieser Satz verdeutlicht  das Problem, was wir derzeit im Internet haben. Deutsches Recht alleine kann das Internet nicht regeln und E-Mails bleiben einfach nicht auf deutschen Boden.

Die digitale Post ist grundsätzlich anderes als die analoge Post, die Schnecken-Post.

Wenn ein Papier-Brief verschickt wird, ist er genau einmal vorhanden. Wenn er von Halle nach Hamburg transportiert wird, bleibt er auf deutschem Boden und ist am nächsten oder übernächsten Tag am Ziel.

Ganz anders bei der E-Mail: Sie besteht aus unzähligen digitalen Signalen, die über das weltweite Internet verschickt werden. Auf dem Weg von Halle nach Hamburg wird diese E-Mail eventuell auch einen Umweg über die USA machen, wo die Dienste wie Google, Apple, Microsoft und Facebook sitzen. Denn eigentlich ist es gar kein Umweg: Digitale Signale können weltweit quasi ohne Zeitverzögerung empfangen werden. Und sie könne zur selben Zeit an ganz unterschiedlichen Orten zugestellt werden.

Ein Beispiel: Wenn Sie etwas in Deutschland bei Facebook kommentieren, ist dieser Kommentar im selben Augenblick in Australien, in Afrika oder in den USA sichtbar. Das Internet kennt keine Grenzen und kaum Zeitunterschiede.

“Auf deutschen Boden hat man sich an deutsches Recht zu halten.”  Das Prinzip klingt in diesem Zusammenhang einfach – nennen wir es – analog. In der digitalen Welt funktioniert es nicht.

Umso wichtiger ist die jetzt von der Bundeskanzlerin angekündigte Initiative, den Datenschutz europäisch und weltweit zu regeln. Genau das wird gebraucht. Doch Frau Merkel ist bescheiden genug, meint, das dauert noch und deshalb sei eine Einigung zwischen Frankreich und Deutschland schon ein echt guter Schritt. Und noch schwieriger sei es, auch die Geheimdienste mit einzubinden.

Nur die digitale Welt ist viel schneller: Neue Supercomputer werden bald Passwörter in wenigen Stunden oder gar Minuten knacken. Dann stehen technisch alle Daten offen. Auch Regierungsdaten. Deshalb ist schnelles Handeln angesagt.  Das Ziel muss heißen “Weltweit gelten weltweite Datenschutzregelungen. Und weltweit werden sie immer wieder überprüft”.

(c) Michael Voß, www.michael-voss.de

Fünf Jahre Apps

MDR INFO, 11.07.13
–>Beitrag anhören

Apps hört man heute überall. Das Wort ist im Trend. Jetzt feiert es seinen 5. Geburtstag. Apps gibt es  nicht nur bei Apple, sondern inzwischen für alle neuen Handys.

Fünf Jahre alt und unheimlich erfolgreich: die App. Hinter den kleinen bunten Knöpfen – Verzeihung: Buttons! – auf dem Handy verstecken sich die wohl gewinnbringendsten digitalen Erfindungen der letzten Jahre. Aus dem  App Store, wo alles 2008 losging, werden heute pro Sekunde 800 Apps heruntergeladen. Um es plastisch zu machen: Das sind bis zum Ende dieses Beitrages rund 120-tausend Apps, die ihren Weg auf ein iPhone finden. Zehn Milliarden Dollar sind so nur bei Apple schon an die App-Hersteller geflossen.


Steve Jobs, der Apple-Gründer, wollte anfangs überhaupt keinen App Store haben. Er befürchtete einen zu großen Einfluss von außen durch die App-Programmierer in anderen Firmen. Doch es war eines der wenigen Male, wo er sich überzeugen ließ. Und so kam der Startschuss dann doch. Zunächst waren es etwas über 500 Anwendungen. Doch es ging rasant aufwärts.

So rasant, dass es die Apps – eigentlich applications  oder eingedeutscht Applikationen – inzwischen nicht nur bei Apple gibt. 2011 eröffnete auch Amazon seinen Appstore . Im Gegensatz zum Original schreibt der Versandhändler das Wort ohne Lücke zwischen den Wortteilen. Apple zog wegen der Namensgleichheit vor Gericht – und nahm die Klage gestern zurück. Worauf man sich geeinigt hat, ist bislang nicht bekannt.

Auch beim Google-Betriebssystem Android gibt es Apps. Microsoft hat die App-Philosophie im letzten Jahr bei Windows 8 auch auf in die PC-Welt gebracht, denn ursprüngliche gab es Apps nur auf mobilen Geräten wie Handys und später Tablet-Computer.

Apps sind nichts anderes als kleine Programme. Es gibt Apps für jeden Geschmack. Standard ist wohl inzwischen die Facebook-App. Doch jeder Einzelhändler, der etwas auf sich hält, bringt inzwischen eine eigene App heraus. Oft verstecken sich dahinter die verkleinerten Abbildungen des normalen Internetauftritts der Firma. Es gibt aber auch die sogenannten nativen Apps. Das sind wirklich gebaute Programme, die auf kleinsten Raum  große Dinge bewältigen. Videoschnitt, Fotobearbeitung, Standortsuche  und Navigationsprogramme. iPhone und die Android-Geräte können sogar sprechen und verstehen auch bestimmte Phrase. So ist ein bislang sehr eingeschränkter Dialog sogar mit dem Handy möglich. Eine Frage an mein Handy:

Erzähle mir einen Witz….

Warum wurde ihnen der Führerschein entzogen? Ich habe einen Geisterfahrer überholt…

(c) Michael Voß, www.michael-voss.de

Sicherheitslücke: E-Mailadressen bei T-Online lassen sich kapern

MDR INFO, 09.07.13
–> Beitrag anhören

Das Skript im Vordergrund löscht die bisherige E-Mailadresse (Foto: Voß)

MDR INFO hat zusammen mit einem Hacker aus Sachsen eine gravierende Sicherheitslücke beim E-Mail-Dienst T-Online der Telekom entdeckt. Dadurch kann sich ein Angreifer unter falscher Identität sogar Passwörter anderer Dienste zuschicken lassen. Theoretisch sind sogar Einkäufe auf Kosten des Opfers möglich.

Die E-Mail-Adressen bei der Telekom können innerhalb von Sekunden von Unbekannten  übernommen werden. Identitätsklau heißt das Stichwort. Und der Nutzer merkt davon zunächst nichts. Schuld daran ist eine Sicherheitslücke, die Matthias Ungethuem aus dem sächsischen Geringswalde entdeckt hat. Sein Programm, sein sogenanntes Script, lässt sich auf Internetseiten verstecken und diese dann zur Falle werden.

Wenn ich mein Script jetzt angreifen lassen, dann tut das im Hintergrund – ohne, dass das der Nutzer merkt – die E-Mailadresse des Nutzers ändern. Die alte E-Mailadresse wird damit verfallen. Das heißt, die alte E-Mailadresse ist zur Registration für alle Nutzer der ganzen Welt wieder frei. Und genau in dem Moment kann sich der Angreifer zum zweiten Mal einklinken und den Namen der E-Mailadresse übernehmen.

Matthias Ungethuem hat die Sicherheitslück entdeckt (Foto: Voß)

MDR INFO hat es nachgeprüft: Konkret geht es um alle E-Mail-Adressen mit „t-online.de“ hinter dem @-Zeichen. Der Angreifer muss nichts anderes machen, als sein Opfer auf eine Internetseite zu locken. Zum Beispiel mit Werbebotschaften in einer E-Mail für günstige Fotobücher oder andere verlockene Angebote. Dieser Link führt dann auf eine vorbereitete Seite. Die Seite kann beliebig gestaltet sein, also auch eine Kopie einer bekannten Seite sein. Das unsichtbar eingebaute Script storniert nun den vorhandenen Namen vor dem @-Zeichen und ersetzt ihn durch einen anderen Namen. Das Opfer merkt zunächst nichts davon.

Von einem zweiten Computer aus beantragt der Reporter dann ganz legal auf der Telekom-Seite genau die Adresse, die wir gerade illegal gelöscht haben. Und tatsächlich ist sie frei und jetzt im Besitz des Reporters. Und der könnte damit einiges anfangen, erzählt Matthias Ungethuem.

Man könnte Geschäftskunden anschreiben und sich als jemand anderes ausgeben, weil man eben diese Adresse hat.

Und: Der Angreifer bekommt von nun auch alle E-Mails zugeschickt, die an die bisherige Adresse seines Opfers gerichtet sind. Das lässt sich ausnutzen, zum Beispiel beim Bestellen bei verschiedenen Online-Kaufhäusern.

Seit dem 30. Mai 2013 ist die Telekom
informiert (Foto: Voß).

Viele Internet-Händler haben einen Link, den man anklicken kann, wenn man sein Passwort vergessen hat. Dafür braucht man dann nur die eigene E-Mail-Adresse angeben, die  als sicher gilt. In unserem Fall nutzt nun der Angreifer die gekaperte Adresse, bekommt ein neues Passwort, kann damit über eine fingierte Lieferadresse im Namen des Opfers einkaufen.

Diese Sicherheitslücke entstanden, weil die Telekom selbst den Wechsel des E-Mail-Namens für ihre Nutzer ermöglicht. Dabei wird weder das Passwort abgefragt noch ein eingebautes Passwort – ein sogenannter Token – genutzt, wie es normalerweise üblich ist.

Was T- Online machen müsste, wäre, einen solchen Token einführen, das heißt: Vor dem Absenden wird der Token generiert, dann wird er übermittelt und wenn er nicht hinhaut, wenn er nicht übereinstimmt, dann kann man einfach nicht davon ausgehen, dass der Nutzer das war.

Auf dieses Problem hat Matthias Ungethuem die Telekom bereits vor sechs Wochen hingewiesen. Das Fax liegt MDR INFO vor. Es geschah nichts. Auf Nachfragen war die Telekom nicht bereit vor dem Mikrofon Stellung zu nehmen. In einer E-Mail hieß es lediglich, man nehme den Hinweis sehr ernst und prüfe den Vorgang.

Aktualisierung, 10.07.13

Nach Angaben der Telekom ist die Sicherheitslücke im Mailverkehr von T-Online geschlossen worden. Man habe eine zusätzliche Passwortabfrage eingebaut. MDR INFO hatte gestern darüber berichtet, dass es aufgrund fehlender Sicherheitsvorkehrungen möglich sei, E-Mail-Adressen der T-Online-Kunden zu kapern. Die Angreifer hätten dadurch die digitale Identität ihrer Opfer übernehmen können. Der Telekom ist nach eigenen Angaben kein derartiger Fall bekannt.

Andere Medien berichten zu dem Thema

(c) Michael Voß, www.michael-voss.de

Bundeskanzlerin bezeichnet Internet als “Neuland”

Bundeskanzlerin Angela Merkel hat das Internet heute als Neuland bezeichnet. Das bestätigt meinen Verdacht, dass wir sehr wenig Politiker haben, die sich in diesem Bereich auskennen. 


Deutschland braucht dringend Politiker, die sich im Internet auskennen.
(c) Michael Voß, www.michael-voss.de

Das neue Google Maps

Hier gibt es schon mal einen filmischen Eindruck, wie Google sein Kartenprogramm verändert.

(c) Michael Voß, www.michael-voss.de

Bundesgerichtshof zu YouTube

Der Bundesgerichtshof hat sich heute mit YouTube beschäftigt. Dabei ging es um die Frage, ob das Einbetten der Videos auf einer Homepage oder beispielsweise bei Facebook eine Urheberrechtsverletzung sein kann oder nicht. Die Richter schlossen dies für die deutsche Rechtsprechung aus. Allerdings haben sie Bedenken, ob das europäische Recht dies hergibt. Deshalb verwiesen sie das Verfahren an den Europäischen Gerichtshof. Zu den Hintergründen habe ich bei MDR INFO etwas erzählt.

Beitrag nachhören

(c) Michael Voß, www.michael-voss.de

Urlaubsbeschäftigung

j-christus.de heißt das neue Projekt von mir. Es ist ein E-Book und bietet eine SocialMedia-Anleitung für christliche Kirchen, Gemeinden, Organisationen und Werke. Dazu gehört eine praktische Anleitung, um innerhalb von einer Stunde im Internet präsent zu sein.

Das E-Book erscheint voraussichtlich im Mai 2013. Mehr Infos dazu gibt es auf der Homepage.

(c) Michael Voß, www.michael-voss.de

Meine heutige Lieblingsnachricht: Behörden vernichten virenverseuchte Computer

In Mecklenburg-Vorpommern sind 170 Computer vernichtet worden, weil sie durch Viren verseucht waren. Offenbar sind a) Virenschutzprogramme vor Ort nicht bekannt und b) war es den zuständigen Mitarbeitern offenbar auch nicht bewusst, dass man Softwareprobleme durchaus auch anderes lösen kann.

Unter Ziffer 432 des Jahresberichtes 2012 des Landesrechnungshofes Mecklenburg-Vorpommern heißt es wörtlich:

Anfang September 2010 wurde durch das Bildungsministerium ein massiver Virenbefall in den IT-Systemen des IQMV festgestellt. Um eine weitere Ausbreitung der Viren zu verhindern, erfolgte eine Abtrennung des IQMV vom internen Netzwerk des Bildungsministeriums sowie vom Netzwerk der Landesverwaltung. Neben dem Wegfall der IT-gestützten Kommunikation konnte auch der Bildungsserver nicht mehr genutzt werden. Die Arbeitsfähigkeit konnte durch den Einsatz von „dienstlichen Not-PCs“ sowie privaten Geräten nur eingeschränkt aufrecht erhalten werden.

Die Virenbeseitigung erfolgte durch eine Bereinigung aller Server des IQMV sowie einer Neubeschaffung von 170 Arbeitsplatz-PC (APC)145 mit anschließender Rücksicherung der Benutzerdaten. Hierfür stellte das Finanzministerium im Haushaltsvollzug dem Bildungsministerium 20.000 Euro Verstärkungsmittel bereit und willigte in Ausgabeumschichtungen in Höhe von 152.300 Euro ein.

Mich würde interessieren, ob defekte Autos in Mecklenburg-Vorpommern auch gleich verschrottet werden oder in die Werkstatt gehen….

(c) Michael Voß, www.michael-voss.de

Kommentar: Telekom bedroht die Netzneutralität im Internet

MDR INFO, 23.04.13
–> Kommentar anhören
–> Gespräch bei MDR INFO zu den neuen Telekom-Tarifen für das Internet

Die Telekom hat für das Internet über DSL neue Tarife angekündigt, die eine Obergrenze für die Datenübertragung vorsehen, die aber kaum ein Normalhaushalt erreichen wird. Wer diese trotzdemerreicht, schleicht danach entweder – wie in den 90er-Jahren – bis zum Monatsende durch das Internet oder muss nachzahlen. In meinem Kommentar sehe ich allerdings eine ganz andere Gefahr für das Internet in Deutschland.

Jeder Internetanbieter hat das Recht, seine eigenen Tarife anzubieten. Das ist die freie Marktwirtschaft.

Jeder Diensteanbieter hat die Möglichkeit, dass Internet zu den Bedingungen zu nutzen, wie jeder andere auch. Das ist die sogenannte Netzneutralität im Internet.

Zumindest bislang.

Man mag über die neuen Telekom Tarife streiten oder nicht. Eines steht fest: Durch die Hintertür wird die sogenannte Netzneutralität aufgegeben. Und das ist dann die eigentliche Gefahr dieser Telekom-Aktion.

Hier gibt es dringenden Handlungsbedarf für die Politik, denn bislang gibt es kein Gesetz, welches die Netzneutralität schützt.

Hinter “Netzneutralität” versteht man, dass Daten keines Anbieters bei der Durchleitung im Internet bevorzugt werden. Es soll beispielsweise nicht sein, dass die Datei A warten muss, weil der Absender der Datei B für seine Datei einen Express-Zuschlag gezahlt hat. In den Niederlanden wurde das sogar gesetzlich geregelt. Im Rest Europas nicht – auch wenn es Blogger und Internet-Aktivisten immer wieder fordern.

Der neue Tarif der Telekom bevorzugt – ja, klar – die Dienste der Telekom. Wer über das firmeneigene Fernsehportal “Entertain” Filme guckt, dessen Datenverbrauch wird dann nicht erhöht. Wer denselben Film oder einen Film in ähnlicher Länge beispielsweise in der ARD-Videothek sieht, dem werden die heruntergelandenen Bits und Bytes auf die verbrauchte Datenmenge angerechnet. Genau hier endet die Gleichbehandlung der Anbieter. Und es trifft nicht nur die ARD. Auch Youtube, ZDF, iTunes, Maxdome und alle anderen sind davon betroffen. Es seidenn – ja, tatsächlich – eine dieser Firmen zahlt der Telekom extra. Dann könnte man, so war zu hören, ebenfall bevorzugt werden.

Ich finde, hier muss der Gesetzgeber eingreifen. Dies ist ein klarer Verstoß gegen die bisher in Deutschland vorhandene Netzneutralität.  Die Gleichheit im Internet – weltweit eines der grundlegenden Prinzipien – muss bewahrt werden. Es kann nicht sein, dass ein Internetanbieter plötzlich Dienste bevorzugt. Alle Dienste müssen die gleiche Chance haben, sonst entsteht ein Mehrklassen-Internet. Das Ende der bisherigen Netzneutralität darf nicht durch den Multiplayer Telekom eingeläutet werden.

(c) Michael Voß, www.michael-voss.de