Installing SystemRescue on the disk

---

Overview

This page explains how to install SystemRescue on the local disk so it can be started without having to use a removable device. These instructions are valid for SystemRescue since version 6.0.0.

Introduction

There is an easy way to boot SystemRescue from the local disk. It can be convenient if you often want to boot on SystemRescue as it will be faster and there is no need to insert any media before you restart your computer. This method allows to use SystemRescue as you do with the CDRom or USB version. It also allows to boot SystemRescue if you do not have any CD/DVD drive or USB socket in your computer. You can use another operating system to process the installation of SystemRescueCd, and enable it. Thus, this method is recommended if you often use SystemRescue and you want to avoid having to insert the device each time.

The installation is done by copying files from the SystemRescue media to the local filesystem where your operating system is installed. This approach does not require any repartitioning of your disk. Using grub4dos you can even install SystemRescue on a Windows NTFS partition. All you have to do is to install the files that are on the SystemRescue disc to an existing partition on your local disk, that can be either a Linux partition (ext4, xfs, …) or a Windows one (NTFS). That way you can boot SystemRescue from your Windows partition, and using the copytoram option you can even use it to troubleshoot Windows itself or ntfs-3g to work on the filesystem where it is installed.

There are two steps in this installation: first you will have to copy the main SystemRescue files onto a partition of your disk. Then, you will have to configure your boot loader. The installation process requires a partition with enough space to copy SystemRescue files. You must have a working Grub2 boot loader if you want to install the SystemRescue files on a Linux partition.

First approach using Grub2 with isoloop

Grub2 provides a feature to boot from an ISO image which is stored on the local disk. If you put a copy of systemrescue-x.y.z.iso on a filesystem that Grub2 can read then you can boot SystemRescue directly from the ISO image stored on your disk. This is very convenient if you frequently update SystemRescue and you want to boot it directly from Grub2.

The first step is to copy the latest SystemRescue ISO image to your disk, in a place which is accessible from Grub. The recommended location is /boot as it is normally not encrypted and hence it is accessible from Grub. It is recommended to remove the version number form the ISO image so you do not have to update the Grub configuration each time you download a new version of the ISO image.

cp ~/Download/systemrescue-x.y.z.iso /boot/systemrescue.iso

Grub2 knows what an ISO image is and it will load the vmlinuz kernel image file and the sysresccd.img initramfs from the ISO into memory. It will then do its normal job and execute the kernel. Additional parameters must be passed to SystemRescue on the boot command line so the startup script can find files.

The Grub configuration contains directives so Grub can find the ISO image and the kernel image and initramfs within it. It also contains parameters passed to the operating system so it can find the ISO image on the disk and important files within the ISO image. It is important to understand that the path of the ISO image may be different from the path on your Linux system if your /boot directory is separate from your root filesystem and mounted from a separate filesystem.

Here is an example of a Grub2 configuration section assuming the filesystem which contains systemrescue.iso is labelled boot. This configuration is normally stored in a file such as /etc/grub.d/25_sysresccd and it needs to be executable so the grub-mkconfig command can use it.

You should keep options archisobasedir=sysresccd as it is as this refers to the path to files inside the ISO image. Also you should keep internal paths /sysresccd/boot/${arch}/ unchanged. The copytoram option is recommended by not mandatory. You should then update the setkmap option so it matches your keyboard layout. The following example corresponds to the 64 bit architecture (amd64/x86_64) which is the recommended one. If you use the 32 bit version you need to replace all instances of x86_64 with i686:

#!/bin/sh
exec tail -n +3 $0

menuentry "SystemRescue (isoloop)" {
    load_video
    insmod gzio
    insmod part_gpt
    insmod part_msdos
    insmod ext2
    search --no-floppy --label boot --set=root
    loopback loop /systemrescue.iso
    echo   'Loading kernel ...'
    linux  (loop)/sysresccd/boot/x86_64/vmlinuz img_label=boot img_loop=/systemrescue.iso archisobasedir=sysresccd copytoram setkmap=us
    echo   'Loading initramfs ...'
    initrd (loop)/sysresccd/boot/x86_64/sysresccd.img
}

Here is what happens when Grub2 starts the system:

• Grub2 searches for a filesystem labelled boot that it considers as its root filesystem
• Grub2 searches for the ISO image /systemrescue.iso in the filesystem found previously
• Grub2 loads both vmlinuz and sysresccd.img from within the ISO image
• Grub2 executes the kernel image and passes the boot parameters from its configuration
• The boot process will use img_label to find the filesystem which contains the ISO image
• The boot processes will use option img_loop to find the ISO image within the filesystem
• This boot scripts mount the ISO image and boots from the squashfs filesystem image airootfs.sfs

After having created the configuration file you normally have to run a command such as grub-mkconfig -o /boot/grub/grub.cfg to produce the final grub configuration. Make sure the final grub configuration contains the expected section for SystemRescue before you reboot.

Alternative approach involving extracting contents from the ISO image

This approach works on Linux with the Grub boot loader and it also works on Windows with Grub4dos.

It involves copying SystemRescue main files to a filesystem on the disk and configuring Grub or Grub4dos so it can be booted.

First step: copy files from the ISO image to the disk

Now, mount the ISO image with mount under Linux (eg: mount -o loop systemrescuecd-x.y.z.iso /mnt/cdrom) or you can use a software such as Daemon-Tools under Windows if you did not burn the disc), in order to have the main files.

You must copy the whole /sysresccd/ directory from the ISO to the root folder of the partition where this is installed. If you have a separate /boot partition then this directory should be copied to /boot/sysresccd. You must keep the directory structure as it is on the original ISO.

Second step: update the boot loader configuration (if you install on Linux)

Now, you must update the boot loader. This section describe how to update grub. If you are using an NTFS partition, please read the next section instead.

We will have to add several lines to the configuration file of the boot manager (usually located in /etc/grub.d/ for Grub2). You have to customize the configuration given there.

Here is an example of Grub2 configuration. Create a new file such as /etc/grub.d/25_sysresccd so its configuration is located after your default operating system configuration. The search directive is very important as it provides a way for grub to locate the filesystem which contains the SystemRescue files.

In the following example the filesystem is identified using its label which is boot but you can also identify the filesystem using its UUID if you prefer. Once Grub finds the device with this label it will set it as its root filesystem. It can be confusing as what grub considers as the root filesystem is what Linux will consider as the boot filesystem if /boot is on a separate filesystem. Paths to SystemRescue files are relative to the root of this filesystem which may be different from the Linux path.

The archisolabel=boot option indicates that SystemRescue will try to find its files on a filesystem which is labelled boot just as grub. The archisobasedir=sysresccd options then indicates that SystemRescue needs to search for its files in /sysresccd on this filesystem. The copytoram option is recommended so the boot filesystem can be unmounted after the boot process is complete, which allows you to perform changes on the disk where SystemRescueCd is installed.

#!/bin/sh
exec tail -n +3 $0

menuentry 'SystemRescue' {
  load_video
  insmod gzio
  insmod part_gpt
  insmod part_msdos
  insmod ext2
  search --no-floppy --label boot --set=root
  echo   'Loading Linux kernel ...'
  linux  /sysresccd/vmlinuz archisobasedir=sysresccd archisolabel=boot copytoram setkmap=us
  echo   'Loading initramfs ...'
  initrd /sysresccd/sysresccd.img
}

After having created the configuration file you normally have to run a command such as grub-mkconfig -o /boot/grub/grub.cfg to produce the final grub configuration. Make sure the final grub configuration contains the expected section for SystemRescue before you reboot.

Second step: update the grub4dos bootmanager (if you install on Windows)

Now, you must update your bootmanager using grub4dos that is the grub port to windows. This section describes how to install the grub4dos boot manager if you installed the SystemRescue files on an NTFS partition running Windows. If you are using a Linux partition, please read the previous section instead.

One of the most interesting things you can do with the sysresccd ntfs installation is to troubleshoot windows when it has problems. This way you can mount the windows partition with ntfs-3g and repair your windows (replace a backup of the registry, …). The only problem is you cannot mount the windows disk read-write with ntfs-3g because it was already mounted read-only during the boot process. The solution to this problem is to use the copytoram option at boot time. When this option is enabled, sysresccd will cache its own files (found on the ntfs disk) into memory during the boot process, and the ntfs disk will be unmounted. So it allows you to mount it again with ntfs-3g. So you have to add copytoram to the menu.lst boot options if you want to be able to mount your windows disk with ntfs-3g after booting from the ntfs disk itself.

Installation is really straight forward. In this mini tutorial, I assume Windows is installed on an NTFS disk (Disk-C) and that you copied the SystemRescue main files into C:\sysresccd

You must download grub4dos, extract the zip file into a temporary directory, and copy grldr to C:\. This installation has been tested using the grldr file provided with grub4dos-0.4.3-2007-08-27.zip but it should work with any recent version.

Together with grldr you need to copy grldr.mbr (part of the archive) to the root of the Windows boot partition. Then you need to type several commands at a command prompt (run cmd.exe with an administrator user account).

In the command prompt window (C:> is a dummy substitute for the cmd prompt) do the following:

C:> bcdedit /create /d "SystemRescue [GRUB4DOS]" /application bootsector

You get in return the boot entry {id} - use it (copy/paste or type) in the following steps

C:> bcdedit /set {id} device boot
C:> bcdedit /set {id} path \grldr.mbr
C:> bcdedit /displayorder {id} /addlast

You have to create a C:\menu.lst that is the grub4dos configuration file. Here is an example. It corresponds to the 64 bit architecture (amd64/x86_64). If you use the 32 bit version you need to replace all instances of x86_64 with i686:

# This is a sample menu.lst file for SystemRescue
title    SystemRescue from the NTFS disk
root     (hd0,0)
kernel   /sysresccd/boot/x86_64/vmlinuz archisobasedir=sysresccd archisolabel=windows copytoram setkmap=us
initrd   /sysresccd/boot/x86_64/sysresccd.img

In menu.lst you will have to update archisolabel so it matches the label of the NTFS filesystem which contains the sysresccd and also you should update the setkmap parameter so the code matches your keyboard configuration. In this example, files are located on the NTFS partition that is the first partition of the first hard disk. Then the grub device name is (hd0,0). It would be (hd1,0) for the first partition of the 2nd hard-disk, (hd0,1) for the second partition of the first hard-disk, … You have to replace root (hd0,0) with the grub name of your NTFS partition.

Huawei Y5 2019 AMN-LX9

Hi i think the title says enough, 

it's before the grand and official HMS core Application,

Here's my second edit of this post. 

im introducing a categorized list off the applications on my Y5 2019!

###############################################################
##                   google default                          ##
###############################################################

com.google.android.apps.restore &&
com.google.android.setupwizard &&
com.google.android.partnersetup &&
com.google.android.feedback &&
com.google.android.gms.policy_sidecar_aps &&
com.google.android.printservice.recommendation &&
com.google.android.videos &&
com.google.android.apps.docs.editors.slides &&
com.google.android.apps.docs.editors.sheets &&
com.google.android.onetimeinitializer &&
com.google.android.apps.docs.editors.docs &&
com.google.android.googlequicksearchbox &&
com.google.android.youtube &&
com.google.android.music &&
com.google.android.webview &&
com.google.android.apps.maps &&
com.google.android.apps.docs &&
com.google.android.marvin.talkback &&
com.google.android.apps.work.oobconfig &&
com.google.android.apps.photos &&
com.google.android.ext.shared &&
com.google.android.syncadapters.calendar &&
com.google.android.backuptransport &&
com.google.android.syncadapters.contacts



###############################################################
##                      Android Default &&                   ##
###############################################################

com.android.email &&
com.android.chrome &&
com.android.partnerbrowsercustomizations.tmobile &&
com.android.htmlviewer &&
com.android.printspooler &&
com.android.calculator2 &&
com.android.providers.userdictionary &&
com.android.providers.calendar &&
com.android.calendar &&
com.android.providers.contacts &&
com.android.contacts &&
com.android.wallpaperbackup

###############################################################
##                          Adware &&                        ##
###############################################################

com.facebook.katana &&
com.booking &&
com.example.android.notepad &&
com.amazon.appmanager &&
com.facebook.services &&
com.amazon.mShop.android.shopping &&
com.facebook.appmanager &&
com.facebook.system


###############################################################
##                             SYSTEM                        ##
###############################################################

com.android.providers.blockednumber
com.android.location,fused
com.android.frameworkhwext.overlay.dark
com.android.frameworkhwext.dark
com.android.systemui
com.android.bluetooth
com.android.bluetoothmidiservice
com.android.emergency
com.android.phone
com.android.shell

For now i guess..


###############################################################

More is coming.
Im gonna re-analyse this software for now, 

and lookin forward to analyse the:

 

Huawei Y5 2019 AMN-LX9 AMN-L29 hw eu Amman-L29 9.0.1.109(C432E4R1P4) 

Firmware 9.0.0 r3 EMUI9.0.1 05015TYW Firmware.

Huawei Y5 2019 -[ HOW TO DO A SOFTWARE UPGRADE FROM SDCARD ]- ???

1. Download Your AMN-LX9 Firmware file it is a .zip

2. Unpack the zip file make sure the folder dload is in the root of the sdcard.

3. go the phone and type the code:

*#*#2846579#*#*

press the button Software upgrade.

Now Your Huawei is doing a software upgrade form your local SDCARD.

Greetings.. *bleep*

Le Pinebook Pro

J'ai commandé l'année dernière un Pinebook Pro, après quelques péripéties j'ai enfin eu l'occasion de l'utiliser vraiment ces derniers jours. Je me suis dit que ça serait sympa de partager mon expérience !

Un portable communautaire

Vu de l'extérieur le Pinebook Pro ressemble beaucoup à n'importe quel autre ordinateur portable : châssis métallique noir, fin, grand écran mat. Tout semble habituel, mais quand on se penche sur les détails on remarque l'absence de logo à l'arrière et une touche Windows un peu originale ; en lieu et place de la fameuse fenêtre on trouve une pomme de pin !

Vous ne pourrez malheureusement pas remarquer ces détails dans votre supermarché favori, en effet cet ordinateur n'est disponible qu'à l'importation. Pine64, le fabricant, n'a pas pour intention d'inonder le marché avec ses produits ; non, leur cœur de métier c'est la fabrication de SBC (Single Board Computer) basé sur des puces ARM. Leur objectif est de fournir des plateformes matérielles communautaire. Pour y arriver, ils travaillent de manière ouverte, intègrent les retours de la communauté et essaient de fournir des produits basés sur les mêmes processeurs pour faciliter le travail des développeurs.

Le portable coûte 200$, auxquels il faut ajouter les frais de port et taxes d'importations, 40$ et 1800Kč pour moi. Ce qui fait un total d'environ 290€.

Un portable ARM

Vous l'aurez compris ce qui fait l'originalité de cet ordinateur c'est d'abord son écosystème, mais c'est aussi son matériel. Invisible pour le commun des mortels et inconnu dans le monde de l'ordinateur personnel c'est bien un processeur ARM qui propulse cette machine, un Rockchip RK3399 pour être précis. Ce processeur contient 6 cœurs : 4 Cortex-A53 peu gourmands en énergie mais pas très puissants et 2 Cortex-A72 énergivores, mais plus puissants. Adossé au processeur on trouve 4Go de mémoire vive et 64Go d'espace de stockage (mémoire de type eMMC). La puce eMMC n'est pas soudée sur la carte mère, mais sur une petite carte fille, vous pourrez donc la changer comme un disque dur classique.

Photos de la mémoire eMMC, connectée et déconnectée

En terme de connectique c'est assez classique, on retrouve de l'USB 2 et 3, un port USB Type C, une prise casque (qui peut aussi servir de port UART) et une prise pour l'adaptateur secteur. On a lecteur de carte microSD depuis lequel on peut démarrer un OS. À l'intérieur on peut ajouter un port M2 avec un adaptateur optionnel, ça permet de connecter une seconde carte WiFi ou un SSD NVMe. La batterie de 10 000 mAh est suffisante pour tenir environ 6 heures sans se poser de question. Pour le reste rien de particulier à signaler mis à part que les ports USB ne sont pas bootable.

Le strict nécéssaire

L'ordinateur s'ouvre facilement avec un tournevis et on peut accéder rapidement à tout les composants. De plus la plupart des schémas sont disponibles sur le wiki de Pine64.

L'intérieur de la bête, tout est facilement accessible et documenté

Le clavier n'est disponible qu'en format US ou UK, c'est un clavier de type chicklet, il est grand et confortable à utiliser. Le pavé tactile est une vraie catastrophe, il est d'une taille suffisante, mais il manque cruellement de précision. C'est très difficile d'attraper le bord d'une fenêtre pour la redimensionner par exemple, sélectionner du texte peut relever du parcours du combattant ! La qualité du pavé tactile va de paire avec celle des haut-parleurs. Le son produit est faible, sans aucune basse et ils saturent très vite, cependant il semble très simple de les remplacer, certains en parlent sur les forums, il faut simplement trouver des remplaçants qui font la bonne taille. Enfin la webcam annoncé 1080p semble correcte, mais je ne l'ai pas vraiment utilisé, l'image n'est pas très fluide dans Cheese.

Un portable utilisable au quotidien

Au quotidien ce portable est très agréable à utiliser ! Il est silencieux et son clavier est vraiment très confortable. Malgré les 4 Go de mémoire vive je n'ai jamais ressenti de ralentissement lié à une mémoire pleine, et le processeur exécute tout ce que je lui demande sans broncher.

Les petits plus sont la sortie de veille qui est littérallement instantanée, le silence absolu (oui je me répète 😁️), la batterie qui tient longtemps et la légèreté.

Les petits moins sont le trackpad et les haut-parleurs moisis, la batterie qui peine à se charger quand on est à moins de 10% et qu'on utilise encore le portable et la webcam qui ne permet pas de faire des conf vidéos (c'est sûrement un problème logiciel).

Pour conclure je dirais que ce portable est bien équipé pour la plupart de mes besoins. Je peux développer sans problèmes, je n'ai aucun problème pour naviguer sur le web confortablement, l'utilisation de Gnome est fluide. Bref, je suis très satisfait malgré les quelques problèmes mentionnés.

 

Simple Archlinux btw ! ;-)

Article

Froo www.froo.com | Froo Cross Sell, Free Cross Sell, Cross promote, eBay Marketing, eBay listing Apps, eBay Apps, eBay Application

CCCAC - Übersicht

• Übersicht
• Wer wir sind
• Projektwiki
• Vorträge
• Clubraum
• Kontakt
• Spenden

Ankündigungen abonnieren

• Impressum

offen

niemand da

Congress

CCCAC

Chaos Computer Club Aachen

Treffen

Wir treffen uns meistens abends, insbesondere mittwochs und freitags in unserem Clubraum im Nordosten Aachens. Wegen unseres Umzuges sind öffentliche Treffen momentan ausgesetzt.

Kontakt

Mastodon: @cccac@chaos.social
Twitter: @cccac
E-Mail: mail@aachen.ccc.de
IRC: #cccac auf Hackint (TLS!)
Matrix: #cccac:ccc.ac (matrix.to)
Adresse und Wegbeschreibung

Dates

Start		End	Name

Ankündigung Vortrag 12.04.2019

2019-04-03

Am Freitag, 12.04.2019, ab 21 Uhr wird es einen Vortrag über die DSGVO bei kleinen Vereinen geben.

Ankündigung Workshop 09.03.2019

2019-02-03

Am Samstag, 09.03.2019, ab 15 Uhr können wir in einem Workshop etwas über Platinendesign mit KiCad lernen.

Meldet euch an, kommt vorbei und habt Spaß.

Vortragsankündigung für den 13.02.2019

2019-02-03

Am Mittwoch, 13.02.2019, um 20:30 Uhr erwartet uns ein Vortrag über Elektronikdesign mit Microcontrollern.

Kommt vorbei, lernt etwas über dieses grandiose Thema und habt mit uns Spaß am Gerät.

Vortragsankündigung für den 01.02.2019

2019-01-28

Am Freitag (01.02.2019) finden ab 20:00 Uhr Lightning Talks statt. Hierbei erzählen Menschen in kurzen Vorträgen, woran sie arbeiten und was sie entdeckt haben.

Kommt vorbei, habt Spaß mit uns am Gerät und genießt bunte Lichter bei guter Mate. Und falls du auch mal von deinem coolen Kram in einem der nächsten Lightning Talks berichten willst, sag Bescheid!

Vortragsankündigung für den 30.01.2019

2019-01-27

Nachdem das Jahr 2018 mit einem wunderbaren Congress beendet wurde, der auch viele tolle Vorträge geboten hat, will der CCCAC auch in diesem Jahr gute und interessante Themen bieten.

Daher kündigen wir euch hiermit den nächsten kommenden Vortrag bei uns an. Er findet statt am Mittwoch, 20:00 Uhr in den Clubräumen des CCCAC e.V.

Anmeldung für u23 zu Long Range Wireless Networks

2017-10-03

Das u23 ist ein Projekt für junge Hacker und Haecksen bis 23 Jahre. In diesem Jahr beschäftigen wir uns mit Long Range Wireless Networks. Wie kommunizieren Sensoren, IoT-Geräte und kleine Knoten mit Batterie über mehrere Kilometer? Wie messen Sensoren Temperatur oder Luftdruck im ganzen Stadtgebiet verteilt? Wie wird die Kommunikation sicher?

Wie im letzten Jahr veranstaltet der Chaos Computer Club Cologne e.V. (C4) mit dem Chaos Computer Club Aachen e.V. das Jugendprojekt u23. An acht Terminen lernen die Teilnehmerinnen und Teilnehmer gemeinsam mit Tutoren die Grundlagen von Long Range Wireless Networks. Die Veranstaltung richtet sich an junge Menschen unter 23 Jahren, die bereits ein wenig Programmiererfahrung mitbringen und bereit sind auch mal eine Textkonsole unter Linux zu benutzen.

Wir starten am 14. Oktober in Köln und 15. Oktober in Aachen mit einer Einführung in die Programmiersprache C. Das Projekt findet parallel in Köln und Aachen statt - es folgen jeweils 8 Abendtermine zu Themen wie Wireless Communication, Embedded Development und Sensor Networks.

• Montags, um 19:00 Uhr in Köln-Ehrenfeld, Heliosstr. 6a
• Dienstags, um 19:00 Uhr in Aachen, Jülicher Straße 191

Die Teilnahmegebühr beträgt 23 €: Materialkosten für einen LoRaWAN-Node, den Du im Laufe des Workshops zusammen lötest. Sind 23 € zu viel? Kein Ding, sprich uns an und wir finden eine Lösung. Solltest Du Interesse am u23 bekommen haben, melde dich bis zum 10. Oktober 2017 an.

Mehr Informationen zum CCCAC sind auf dieser Homepage, zum C4 auf dessen Homepage zu finden.

Die Anmeldung zum u23 ist über das Formular auf der Projektseite möglich.

Keyless Klau

2016-10-26

English version below.

Der Chaos Computer Club Aachen hat sich mit Keyless-Go/Keyless-Entry-Systemen beschäftigt und untersucht wie einfach "schlüssellose" Schließsysteme in Fahrzeugen in der Praxis zu überlisten sind. Während der Untersuchungen ist ein low-cost Angriffswerkzeug für Testzwecke entstanden.
Die Ergebnisse wurden hier veröffentlicht: Keyless Klau

The Chaos Computer Club Aachen has examined the security of Keyless Go/Keyless Entry systems and built a low-cost device for practical demonstration of their security flaws.
Our results are published under Keyless Gone.

u23: Wo ein Bug ist, ist auch ein H_ck

2016-10-23

Von Anfang November bis Januar findet im CCC Aachen über acht Termine hinweg ein Workshop über Binary Exploitation statt. Die gleiche Veranstaltung wird parallel genauso im Kölner CCC angeboten.

Anmeldeschluss ist der 28.10.16. Anmeldeformular und weitere Infos

Lightning-Talk-Abend

2016-10-02

TL;DR: Lightning-Talk-Abend am 5.10.2016 im CCCAC

Am kommenden Mittwoch, den 5. Oktober veranstalten wir in unseren Clubräumen einen Lightning-Talk-Abend.

Es sind, beginnend um 20 Uhr, drei bis vier Kurzvorträge von c.a. 15 Minuten Länge zu verschiedenen technischen Themen geplant.

Im Anschluss laden wir zum längeren Verweilen ein, um die Themen des Abends zu diskutieren oder einfach den Tag bei Mate, Bier und Spaß am Gerät ausklingen zu lassen.

Bisher sind Vorträge zum Reverse Engineering eines Audiorecorders von jn und zum 2-Faktor-Authentifizierungsstandard U2F von clonejo vorgesehen.

Hackathon April 2016

2016-03-20

Da uns der Hackathon im Herbst viel Spaß gemacht hat, veranstalten wir am Sa/So, den 09. und 10. April 2016 die zweite Iteration davon.

Wie letztes mal treffen wir uns im CCCAC, um gemeinsam unsere liegengebliebenen oder neuen Projekte voranzutreiben. Zu Beginn hat jeder die Möglichkeit kurz eine Projektidee vorzustellen. Daraufhin finden wir uns in Gruppen zusammen, um daran zu arbeiten. Am Ende besprechen wir, was wir erreicht haben.

Am 09.04. (Samstag) um 13:37 gehts los, der Hackathon läuft für 24 Stunden.

Am Abend wird gemeinsam vegetarisch gekocht und morgens bieten wir ein Frühstück. Auch Snacks und Süßkram halten wir bereit. Bedenkt, dass ihr vermutlich zwischendurch schlafen wollt. Auf Anfrage können wir Schlafplätze organisieren. Unkosten enstehen euch nur für die Verpflegung.

Fühl dich herzlich eingeladen, teilzunehmen! Dazu schickst du eine E-Mail an hackathon-anmeldung@aachen.ccc.de und teilst uns darin mit, wen du sonst noch alles mitbringen willst. Eventuelle Ernährungs­einschränkungen und Infrastruktur, die du für dein Projekt brauchst, wären dort auch gut untergebracht. Wir haben eine Werkstatt und ein Elektroniklabor, die Ausstattung ist teilweise im Inventarsystem dokumentiert.

Der Hackathon ist eine gute Möglichkeit neue Gleichgesinnte kennen zu lernen. Gearbeitet wurde letztes mal u.A. an einem Selbstbau-3D-Drucker, einem Assistenten, der flexibel an Dinge erinnern kann und an einem Inventarsystem für Kleinteile.

Talk "Von Taschenratten und Typen - Die Programmiersprache Go"

2016-02-04

Go erfährt seit einigen Jahren steigende Beliebtheit. Bekannte Projekte wie Docker, Syncthing und hugo sind in Go programmiert. Was macht Go für Entwickler so attraktiv? Wie funktioniert die Sprache, das Paket- und Ökosystem und die Community? In diesem Vortrag versucht sich fd0 an einer interaktiven Einführung und gibt Hinweise zum weiteren Selbststudium.

Der Vortrag beginnt am Mittwoch, 10. Februar 2016, um 19 Uhr im CCCAC.

Aufzeichnung

Talk “A Reasonably Safe Travel Burner Laptop Setup”

2015-11-06

Georg Wicherski (@ochsff) is going to give a talk on setting up a trusted boot chain on affordable notebook hardware; to use them as throw-away devices for journeys to countries where they might be confiscated or tampered with.

The talk will be held in English at CCCAC on Wednesday, 2015-11-18 at 19:00.

Please don't hesitate to contact us for further information.

Update 14.11.: Fixed time to 19:00. The talk will be streamed and recorded. See Twitter right before the talk for the stream URL.

Mail wieder online

2015-10-19

Unser Mailserver ist wieder online, Mails an @aachen.ccc.de und @ccc.ac kommen also an. Update 20.10.: Jabber ist leider noch nicht auch wieder online :).

E-Mail, Serverausfall

2015-10-10

Da der Server ausgefallen ist, der unsere externen Dienste bisher betrieben hat, sind wir aktuell nicht per E-Mail erreichbar (alle @aachen.ccc.de-Adressen). Auch Jabber ist betroffen. Unsere Admins arbeiten daran.

Anmeldungen für den Hackathon bitte an hackathon-anmeldung@httf.eu. Bitte schreib uns nochmal, wenn du keine Rückmeldung bekommen hast, möglicherweise ist deine Mail verloren gegangen.

Weg zu den Clubräumen

2015-10-05

Aufgrund von Einbrüchen auf dem Gelände ist die rote Tür („Kranzstraße 10“) inzwischen häufiger verschlossen und nur von innen zu öffnen. Daher ist es ratsam, bei einem Besuch ein Handy und unsere Telefon­nummer (+49 241 53807924) parat zu haben.

Wegbeschreibung, Karte aller Wege

Hackathon Oktober 2015

2015-09-24

Hackathon, 24. Oktober 2015 13:37 Uhr bis 25. Oktober 2015 15:23 Uhr im CCCAC

Projektseite

Ab jetzt auch Freitag abends offenes Treffen

2015-08-31

Da nicht jeder am Mittwochabend Zeit hat und im Club Freitags auch Betrieb ist, soll zusätzlich der Freitagabend ein fester Termin werden. Fühlt euch also Mittwochs und Freitags ab 20 Uhr herzlich eingeladen.

Wegbeschreibung

Vortrag „Kryptographie im Zeitalter von Quantencomputern“

2015-08-09

Quantencomputer haben sich in jüngster Vergangenheit neben der Kernfusion als Heilsversprechen des technischen Fortschritts etabliert. Der Vortrag soll sich nicht der Frage widmen, wie diese Wundermaschinen eines Tages funktionieren sollen, sondern welche Auswirkungen die Existenz eines Quantencomputers auf den Entwurf von gegenwärtigen sowie zukünftigen Kryptosystemen hat. Wir werden zunächst aus theoretischer Perspektive die grundlegenden Angriffsmöglichkeiten auf Kryptosysteme beleuchten und darauf aufbauend werden „neue“ Angriffsmöglichkeiten diskutiert, welche durch die Nutzung eines Quantencomputers realisiert würden. Anschließend wird der Gedankengang hinter laufender Forschung zur Entwicklung von zweckmäßigen sog. post-quantum cryptosystems erläutert.
Dipl.-Phys. Gregor Bransky hält diesen Vortrag am Mittwoch, den 26.08. um 20:00 in den Räumen des CCCAC.

Aufzeichnung

Vortrag „Manipulation kryptographisch signierter Firmware-Updates: Angriff auf einen Heimrouter“

2015-07-13

Hanno Heinrichs zeigt wie Firmware-Updates eines bekannten Heimrouters trotz kryptographischer Signatur manipuliert werden können. Der Vortrag findet am 15.07 um 20:00 statt.

Aufzeichnung

Vortrag „Der gemeinnützige, eingetragene Verein“

2015-06-02

Dipl. BW E. Janke behandelte in diesem Vortrag Bürokratie und (steuer-)­recht­liche Anfor­derungen sowie Vorteile und Gestaltungs­möglichkeiten des gemein­nützigen, eingetragenen Vereins. Der Vortrag fand am 10.6. statt.

Aufzeichnung, Folien

Vortrag „afl-fuzz“

jn hielt einen Vortrag über den Fuzzer afl-fuzz:

Aufzeichnung

Vortrag „IT-Sicherheit in mittelständischen Unternehmen“

2015-04-23

Der Vortrag beginnt mit einer kurzen Analyse der Bedrohungslage und einer Klassifizierung der verschiedenen Angriffsszenarien. Im weiteren werden spezifische Schutzmaßnahmen besprochen und an Hand von Fallbeispielen auf ihre Wirksamkeit geprüft. Zum Abschluss wird ein exemplarischer Hackerangriff auf ein virtualisiertes Computernetzwerk demon­striert. Mirars Vortrag konnte man am Mittwoch, den 29.4. beiwohnen.

Aufzeichnung

Vortrag „What you thought you knew about C“

2015-03-24

Florob hat seinen lehrreichen Vortrag "What you knew about C" bei uns vorgetragen, die Aufzeichnung findet sich hier:

Aufzeichnung

Vortrag „No More Bugs in C++“

2015-03-05

Gabriel Schreiber stellte ein breites Spektrum typischer Fehlerquellen in C++ vor und zeigte dabei auch Vermeidungsstrategien auf.

Aufzeichnung

Vortrag „Rust“

2015-02-23

Schnelle, sichere und crash-freie Programmierung. All das verspricht die Programmiersprache Rust. Mit dem bevorstehenden 1.0-Release ist jetzt ein guter Zeitpunkt, sich Rust mal ein wenig näher anzuschauen. Der Vortrag von Jan-Erik "badboy" Rediger, fand am Mittwoch den 04.03. statt.

Aufzeichnung

Vortrag „restic“

2015-01-27

Alexander "fd0" Neumann stellt sein Programm "restic" vor, mit dem sich einfach und schnell verifizierbare, verschlüsselte Backups anlegen lassen und geht dabei auch auf die zugrundeliegenden Strategien und Algorithmen ein.

Aufzeichnung

31C3 (CTF)

2015-01-03

Wieder ist ein wundervoller Chaos Communication Congress vorbei. Das von uns veranstaltete CTF ist somit auch abgeschlossen. Alle Informationen zum CTF gibt es hier:

31C3 CTF

Öffentliches Treffen

Jeden Mittwoch und Freitag ab 20Uhr veranstalten wir ein öffentliches Treffen in unseren Räumen. Jeder ist eingeladen uns zu besuchen und kennenzulernen. …

mehr lesen

Kurzvorträge

Mittwochs ab 21Uhr werden bei uns Kurzvorträge gehalten. Es steht jedem offen selber Vorträge zu halten. …

mehr lesen

Info Mails

Wir haben jetzt eine Mailingliste über die wir Ankündigungen und andere Informationen mitteilen.

Öffentliches Treffen

Jeden Mittwoch und Freitag ab 20Uhr veranstalten wir ein öffentliches Treffen in unseren Räumen. Jeder ist eingeladen uns zu besuchen und kennenzulernen. Wegen unseres Umzuges sind öffentliche Treffen momentan ausgesetzt.

Kurzvorträge

Mittwochs ab 21Uhr werden bei uns Kurzvorträge gehalten. Es steht jedem offen selber Vorträge zu halten.

Info Mails

Wir haben eine Mailingliste über die wir Ankündigungen und andere Informationen mitteilen.

CCC | Erfa-Kreise

• home
• Club
• Regional CCC
• Media
• Events
• Topics
• Publications
• Contact
• Support
• Imprint
• Datenschutz

Deutsch

Calendar

Erfa-Kreise

The local and regional affiliates of the Chaos Computer Club are the so called Erfa-Kreise (short for information exchange circles). Here is a list with links.

Aachen

The hackerspace and Erfa-Kreis in the old imperial city has its doors open for visitors on Wednesdays starting at 8 pm and is well hidden in the gloomy realms of the deserted heavy industrial areas in the nort east of Aachen (Jülicher Str. 191, 52070 Aachen). But with the right directions and an open eye for blinking lights it's easy to find.

Bamberg

The CCC affiliated hackerspace backspace gathers people interested in technical innovation and free information exchange. It is a think tank, worshop, hackerspace, open space, home, laboratory and instigator. There is something going on every day, but most people meet at Spiegelgraben 41 in Bamberg on Tuesday, 7 pm. Further information online.

Berlin

Club Discordia is a public meeting located at the CCC Berlin (Marienstr. 11, 10117 Berlin-Mitte). Meetings are held every thursday at 5pm. Further information online.

Bremen

The public get together of CCC Bremen takes place every tuesday at 8pm in the AUCOOP building (Weberstrasse 18). More information online at www.

Darmstadt

CCC Darmstadt meets tuesdays from 8pm in their "Trollhöhle" at Wilhelm-Leuschner-Strasse 36. Please subscribe to the mailing list first to get up to date information (darmstadt-subscribe (at) lists.metarheinmain.de) More information online at www

Dresden

The geeks from Saxony and southern Brandenburg meet every tuesday in Dresden ( for details please ask via jabber at c3d2@muc.hq.c3d2.de). Furthermore there are occasional get-togethers for specific subjects, more information online

Düsseldorf

The nordic Chaos stronghold on the Rhine, knights against network censorship and tolerant drinkers of Altbier meet every friday at 6pm in Hüttenstr. 25 in Düsseldorf. If you want to get us to know, you can visit us on the #chaosdorf channel on OFTC. More information online.

Erlangen

Bits'n'Bugs e.V. meets every tuesday at 7:30pm in E-Werk Erlangen, Fuchsenwiese 1, group room 5. You may bring your own hardware to tinker. For specific projects there are additional meetings on saturdays. Every second tuesday of the month there is a "main" meeting with organizational subjects and more people present. People also come here from as far as Forchheim and Bamberg. More information on the web

Essen

Chaospott is the local subsidary of the CCC at the heart of the Ruhr area. We meet every wednesday at 7 pm in the »foobar«. Further information is available on our webseite and on the »foobar« website.

Frankfurt am Main

We meet every tuesday (even on most holidays) at 7pm in our hackspace the HQ. All interested people are welcome. More information on the web.

Freiburg

Erfa Freiburg meets on tuesdays at 7pm in their own room at ArTik, the former underpass at Siegesdenkmal (Kaiser-Joseph-Strasse 141, 79089 Freiburg) More information on the web.

Göttingen

Erfa Göttingen was founded Nov 2007 by hackers close to the Chaos Computer Club. Open Chaos is every tuesday from 8pm at NOKLAB (Neustadt 7, Innenstadt, Nähe Bahnhof). All interested people are welcome. More information here.

Hamburg

The Erfakreis Hamburg has it's residence at Viktoria-Kaserne, room 119 (1st floor, east wing) Zeiseweg 9, 22765 Hamburg. Last Tuesday each month is perfect to get to know each other and ask questions. We also have a calendar filled with events open for visitors. Find more information on our webpage or at #ccchh on irc.hackint.org.

Hannover

The regional Chaos in Hannover meets every second wednesday of the month from 8pm and on the last sunday of the month from 4pm at the Bürgerschule in their clubroom (room 3.1) in the community center Nordstadt. More information here

Karlsruhe

Erfa Karlsruhe is a registered club with the name 'Entropia'. The public meetings take place every Sunday from 7:30 pm in our club (Gewerbehof, Steinstr. 23) and targets people from Karlsruhe and surrounding region.

Kassel

Erfa Kassel consists of people who enjoy creative use of technology and are happy to tinker. There is also a considerable amount of programming going on. Sometimes workshops take place on specific topics, which are announced in advance. Our public meeting is held every first Thursday of the month from 5pm in room -1307 the University of Kassel, William Allee 71 (engineer school). Please register before by mail. The room is usually busy at any Thursday. More information on the Web or on irc at #cccks on rizon network.

Cologne

The c4 is a westward bridge head of the innovative technoligy usage with all features that are necessary for chaos. The public meeting is called OpenChaos. The meeting takes place on the last thursday of the month at 19:30 in the Chaoslabor in Cologne-Ehrenfeld. More information online.

Mannheim

Erfa Mannheim is a local contact point for people that are intrested in computer and technology, who search for like minded people. You can exchange, present and discuss your ideas. Our public meeting takes place every friday. The dates can be found on our Wiki. More information online.

Mainz/Wiesbaden

The Chaos Computer Club Mainz meets every tuesday, 7pm, at Sedanplatz 7 in Wiesbaden. The meetup is addressed to everyone from Mainz/Wiesbaden and the near surroundings. Further information may be found online.

Munich

The public meetup of the µc³ takes places every second tuesday of the month, starting at about 8 pm at Hessstr. 90 (corner to Schleißheimer Str. 41). Please check the IRC channel in advance if anyone is already there. The channel is also the place to get in contact with someone from the CCC Munich. Further information in web or wiki.

Paderborn

We meet up Wednesdays at the pottery in the "Kulturwerkstatt". Our move to our new rooms in Westernmauer 12 is imminent. More information on https://www.c3pb.de.

Stuttgart

Der Chaos Computer Club Stuttgart e. V. meets every first tuesday of the month at the Zadu-Bar (Reuchlinstraße 4b) at 6:30pm and every third wednesday of the month at the Shackspace (Ulmer Straße 255). Our monthly Talk is every second thursday of the month in the public library of Stuttgart at the Mailänder Platz at 7:30pm. More information on our Homepage.

Ulm

The Chaostreff Ulm meets every monday at 19:30 Uhr in Cafe Einstein at the University Ulm, except for every second monday of the month. This date is reserved for the Chaosseminar. More Informationen on our webseite.

Vienna

The Metalab meets every second Week from 7pm at Rathausstraße 6 in 1010 Vienna. Details about the meetup are published in Metalab-Calender and announced via our mailinglist. More Informationen on our websesite.

Zurich

The Chaostreff Zurich meets every wednesday from 7pm at the Hackerspace at Luegislandstrasse 485 in Zürich/Schwamendingen. More Informationen see webseite.

Tags

• erfa
• club
• lokal
• chaostreff
• regional
• erfa-kreis
• verein
• discordia
• eris

Featured

https://www.ccc.de/rss/updates

2020-12-18T09:34:23+01:00 Chaos Computer Club e.V. https://www.ccc.de/rss/updates https://www.ccc.de/de/857 2020-12-18T09:34:23+01:00 2020-12-18T09:34:23+01:00

Die Beteiligung der Zivilgesellschaft und das Einholen von externem Sachverstand für Gesetzesvorhaben sollen nicht mehr nur simuliert werden: Weil die sachkundige Beurteilung von Gesetzentwürfen Zeit kostet, die von den Bundesministerien aber immer weniger vorgesehen wird, wenden sich heute fünfzehn Verbände und Vereine, darunter der Chaos Computer Club, mit einem offenen Brief und klaren Forderungen an die Minister und Ministerinnen.

Es besteht sofortiger Handlungsbedarf, um nicht noch mehr Gesetzesideen auf den Weg zu bringen, die gar nicht oder nur unter enormem Zeitdruck von Wissenschaft, Zivilgesellschaft, Verbänden und Fachleuten bewertet wurden. Wenige Tage zur schnellen Durchsicht sind mittlerweile mehr Regel als Ausnahme, aber inakzeptabel für eine kompetente Auseinandersetzung mit oft komplexen Gesetzesvorhaben. Daher muss die derzeitige Praxis der viel zu kurzen Zeiträume zur Stellungnahme unmittelbar beendet werden. [1]

Deshalb setzt sich auch der CCC mit diesem offenen Brief für angemessene Fristen ein und gegen eine bloße Scheinbeteiligung:

Wortlaut des Briefes

Sehr geehrte Bundesminister*innen,

die Beteiligung von Zivilgesellschaft und Verbänden an Gesetzgebungsprozessen ist ein elementarer Bestandteil unserer Demokratie. Deshalb ist in § 47 der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) auch eine „möglichst frühzeitige“ Zuleitung an Verbände vorgesehen.

Leider werden seitens der Bundesministerien in zunehmendem Maße Stellungnahmen zu Gesetzesvorschlägen in weniger als drei Arbeitswochen – teilweise von gerade einmal wenigen Werktagen – erwartet. Trauriger Tiefpunkt waren im Dezember 2020 die Anfragen zu Stellungnahmen für den 4. Referentenentwurf zum IT-Sicherheitsgesetz 2.0 mit einer Kommentierungsfrist von 28 Stunden (bei 108 Seiten) und zur Novellierung des Telekommunikationsgesetzes mit einer Frist von 2 Tagen (bei 465 Seiten).

Wir, die unterzeichnenden Vereine, Stiftungen, Initiativen und Verbände dieses Briefes, fordern Sie als Ressortleiter*in auf, die Verbändebeteiligung als wichtiges Werkzeug demokratischer Teilhabe zukünftig wieder ernsthafter zu verfolgen. Die Einbindung von Zivilgesellschaft und Verbänden liefert wichtige inhaltliche Anregungen, ermöglicht es, Meinungen und Expertise aus Gesellschaft, Wissenschaft und Wirtschaft einzuholen und wirkt der zunehmenden Spaltung der Gesellschaft und der Politikverdrossenheit entgegen. Wir sehen daher folgenden Handlungsbedarf:

1. Angemessene Fristen für die Kommentierung von Gesetzesentwürfen

Expertise benötigt Zeit. Unser Anspruch ist, Ihnen fundierte Rückmeldung aus unseren jeweiligen Fachgebieten zu den Gesetzgebungsvorhaben zu liefern. Die Einbeziehung unserer Fachexpert*innen benötigt jedoch immer einen ausreichenden Vorlauf. Dies gilt insbesondere für Organisationen, die auf dem Engagement Ehrenamtlicher fußen. Diesen ist es rein organisatorisch nur schwerlich möglich, eine fundierte Stellungnahme innerhalb weniger Tage auszuarbeiten.

Wir erwarten daher, bei allen künftigen Gesetzgebungsprozessen mindestens vier Arbeitswochen für die Anfertigung von Stellungnahmen einzuräumen. Die Bemessung der Frist sollte sich zudem an der Länge eines Entwurfes orientieren. Denkbar wäre eine Festschreibung von je einer Woche für je 50 Seiten Entwurfsdokument, nicht jedoch weniger als vier Wochen.

2. Bereitstellung von Synopsen zur besseren Vergleich- und Nachvollziehbarkeit

Insbesondere wenn, wie im Falle des IT-Sicherheitsgesetzes 2.0, innerhalb weniger Wochen neue Referentenentwürfe geteilt werden, sollte den Anfragen nach Stellungnahme eine Synopse zur vorherigen Version zur besseren Nachvollziehbarkeit der Änderungen beigefügt werden.

3. Veröffentlichung der Referentenentwürfe auf den Websites der Ministerien

Im Sinne eines transparenten Gesetzgebungsprozesses sollten sämtliche Referentenentwürfe, für die Stellungnahmen bei Verbänden eingeholt werden, und Synopsen öffentlich zugänglich sein. Die Entwürfe sollten zeitgleich mit ihrem Versand an die Verbände auf den Websites der Bundesministerien veröffentlicht werden.

4. Eine Öffnung des Partizipationsprozesses

   Die Beteiligung der Zivilgesellschaft sollte weiter vereinfacht werden. Nach dem Vorbild der Online-Konsultationsverfahren der Europäischen Union sollte neben der Veröffentlichung aller Referentenentwürfe und Synopsen auch die Kommentierungsmöglichkeit für weitere zivilgesellschaftliche Akteure geöffnet werden. Bisher handelt es sich um eine intransparente Auswahl durch die federführenden Ministerien.

Sehr geehrte Bundesminister*innen, wir verstehen unsere Vorschläge als Beitrag zu einem demokratischeren, kooperativeren und inklusiveren Gesetzgebungsprozess und sehen hinsichtlich der Einräumung längerer Kommentierungsfristen dringenden Handlungsbedarf. Anbei finden Sie eine exemplarische Auflistung vergangener Gesetzgebungsvorhaben mit unzureichenden Fristen.

Mit freundlichen Grüßen,

Gesellschaft für Informatik e. V. (GI)

Stiftung Neue Verantwortung

eco – Verband der Internetwirtschaft e. V.

Open Knowledge Foundation Deutschland

Verbraucherzentrale Bundesverband e. V.

Transparency International Deutschland e. V.

Chaos Computer Club (CCC)

BITMi – Bundesverband IT-Mittelstand e. V.

Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.

IfKom - Ingenieure für Kommunikation e. V.

Digitale Gesellschaft e. V.

LOAD e. V. - Verein für liberale Netzpolitik

D64 – Zentrum für digitalen Fortschritt e. V.

IEN Initiative Europäischer Netzbetreiber

Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V.

Links:

[0] Offener Brief mit exemplarischer Auflistung vergangener Gesetzgebungsvorhaben mit unzureichenden Fristen: https://gi.de/meldung/offener-brief-ausreichende-fristen-fuer-verbaendebeteiligung

[1] Innenministerium sabotiert sachkundige Diskussion zum IT-Sicherheitsgesetz 2.0: https://www.ccc.de/de/updates/2020/itsichg

https://www.ccc.de/de/856 2020-12-09T23:45:09+01:00 2020-12-09T23:45:09+01:00

Innenminister Horst Seehofer hebelt eine sachkundige Beratung zum neuen Entwurf des IT-Sicherheitsgesetzes mit einer Sieben-Tage-Frist zur Stellungnahme aus. Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme soll ohne Fachanhörungen durchgeboxt werden.

Das Innenministerium will eine sachkundige Beratung eines komplexen Gesetzesvorhabens durch eine derart kurze Frist behindern, dass eine ernsthafte inhaltliche Befassung mit dem Entwurf faktisch unmöglich ist: Am 2. Dezember 2020 wurde vom Bundesinnenministerium (BMI) der Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz (IT-SiG 2.0)) veröffentlicht. Dazu erging die Einladung, Stellungnahmen zum Entwurf einzureichen.

Schließlich sei es „unverzichtbar, dass Fachleute und Betroffene sich frühzeitig (sic) über ihre Einschätzungen austauschen“. Auf diese Weise würde „zum einen die demokratische Beteiligung von Bürgerinnen und Bürgern gefördert“. Zum anderen erhielte „der Gesetzgeber, das Parlament, eine bessere Grundlage für seine Entscheidungen“, schreibt das BMI. Für diese so „unverzichtbaren“ Beiträge räumte das BMI ursprünglich ganze vier Tage ab Veröffentlichung des Entwurfs ein.

Lächerliche Fristverlängerung nach Protesten

Diese Frist wurde nach allseitigen Protesten „korrigiert“: auf sieben Tage. Bis zum 9. Dezember 2020 sollten nun Stellungnahmen eingereicht werden. Wie zum Hohn erdreistete sich Bundesinnenminister Seehofer noch, am 5. Dezember 2020, dem Tag des Ehrenamts, für das Engagement von ehrenamtlich Tätigen einen Dank auszusprechen.

Neuer Gesetzesentwurf am Tag der Deadline

Am Tag des Fristendes für die Stellungnahmen, dem 9. Dezember 2020, wurde eine neue Version des Entwurfs (pdf) bekannt, die nun statt 92 stolze 108 Seiten lang ist und umfassende Veränderungen und Erweiterungen enthält – selbstverständlich nicht kenntlich gemacht. Auch hat sich das BMI nicht bequemt, diese neue Version zu veröffentlichen. Dies kann nur als weitere Bestätigung verstanden werden, dass ernsthafte Teilnahme der Zivilgesellschaft an sachverständigem Austausch unerwünscht ist.

Gezielte Sabotage der demokratischen Prozesse

Die knappe Fristsetzung für Stellungnahmen von Experten und Zivilgesellschaft ist ein immer öfter verwendetes politisches Instrument, um ein schon vorbestimmtes Ergebnis zu erreichen und gleichzeitig die Möglichkeit zur Beteiligung noch vorzutäuschen. Fundierte Stellungnahmen aus Zivilgesellschaft und Wissenschaft sind jedoch offenkundig unerwünscht und werden aktiv verhindert. Nicht nur Ehrenamtlichen ist unzumutbar, einen 108-seitigen Gesetzesentwurf zu einem facettenreichen und wichtigen Thema wie digitaler Sicherheitspolitik innerhalb von Stunden zu analysieren und eine fundierte, zielführende Stellungnahme zu verfassen.

Es ist kein Geheimnis, dass eine derart kurze Frist nicht nur Beratungsresistenz zeigt, sondern politische Gründe hat. Seehofer hat dies selbst eingeräumt. Zum Datenaustauschgesetz erklärte er im Juni 2019 etwa, das Gesetz bewusst „ganz stillschweigend eingebracht“ zu haben. „Wahrscheinlich deshalb stillschweigend, weil es kompliziert ist, das erregt nicht so.“ Und weiter: „Ich hab jetzt die Erfahrung gemacht in den letzten fünfzehn Monaten: Man muss Gesetze kompliziert machen. Dann fällt es nicht so auf.“ Weiterhin betonte er, „nicht Illegales“ zu tun, sondern „Notwendiges“. An Kritik und Sachverstand gerichtet schob er nach: „Auch Notwendiges wird ja oft unzulässig in Frage gestellt.“

CCC fordert Mindestfristen für Beteiligung und Beratung

Auch im Bundestag werden auf diese Weise Gremien und Abgeordnete oft vor de facto vollendete Tatsachen gestellt. Dieser Politik-Stil ist inakzeptabel und muss durch die Festsetzung von Mindestfristen für Beratungen und Stellungnahmen beendet werden. Die Vielzahl von handwerklich schlechten und von hohen Gerichten kassierten Gesetzen in den letzten Jahren hat nicht zuletzt mit dieser Taktik des Vermeidens von Kritik und Beratung durch zu kurze Fristen zu tun.

Das aktuelle IT-Sicherheitsgesetz schreibt eine Evaluation „vier Jahre nach Inkrafttreten der Rechtsverordnung“ vor. Diese ist seit sechzehn Monaten überfällig. Trotzdem soll nun eine neue Version des Gesetzes innerhalb von wenigen Tagen rücksichtslos durchgedrückt werden. Bei einem sicherheitspolitischen Gesetzgebungsverfahren in einem digitalen Entwicklungsland ist diese Situation katastrophal.

Dem laufenden Gesetzgebungsverfahren muss unbedingt der Raum für eine sinnvolle Qualitätssicherung durch Sachverständige gegeben werden. Im Themengebiet aktive und kompetente Organisationen müssen eingebunden werden. Denn ein tatsächlich zielführendes Gesetz benötigt eine qualifizierte Diskussion.

Links:

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html

https://www.ccc.de/de/855 2020-11-19T13:25:43+01:00 2020-11-19T00:04:47+01:00

Zivilgesellschaftliche Organisationen aus ganz Europa, darunter der Chaos Computer Club, starten gemeinsam die Kampagne Reclaim Your Face. Die schwerwiegenden Risiken von Gesichtserkennung und anderen biometrischen Überwachungstechnologien im öffentlichen Raum dürfen nicht länger ignoriert werden. Als Reaktion auf die rasche, manchmal verdeckte Einführung von invasiven und teilweise rechtswidrigen Technologien durch Polizei und lokale Behören in vielen europäischen Ländern fordern wir ein Verbot der biometrischen Massenüberwachung.

Biometrische Überwachung in Deutschland

Schon lange warnt der CCC vor biometrischer Vollerfassung und ebenso lange zerlegen Mitglieder des CCC biometrische Systeme. Obwohl biometrische Überwachungssysteme schlechte Erkennungsraten haben und veröffentlichte Ergebnisse eines deutschen Tests offensichtlich geschönt wurden, plante das Innenministerium zuletzt Anfang 2020, Gesichtserkennungssysteme an 135 deutschen Bahnhöfen und vierzehn Flughäfen zu installieren.

In vielen Städten wird an einer Vorratsdatenspeicherung der Offline-Welt gearbeitet. Dieses technische Aufrüsten findet ohne Beachtung der Risiken und Nebenwirkungen statt. In Hamburg etwa überwachen 190 Kameras den Hauptbahnhof, Bilder von „hervorragender Qualität“ werden bis zu dreißig Tage lang gespeichert. Am wenige hundert Meter entfernten Hansaplatz sind Kameras sogar auf Wohnzimmer gerichtet. Auch in Köln werden Bürgerinnen nun von modernsten Kameras überwacht.

Diese Kamera-Systeme sollen zwar noch keine Gesichtserkennung durchführen, jedoch bieten sie die Grundlage für eine nachträgliche Gesichtserkennung auf dem gesammelten Bildmaterial. So wurden während der vier Tage des G20 rund 100 Terabyte an Bildmaterial gesammelt und nachträglich biometrisch analysiert. Löschanordnungen des Hamburgischen Datenschutzbeauftragten hat die Polizei kurzerhand ignoriert. Auch andere Polizeibehörden sammeln fleißig Bilder. Gemeinsam können sie auf einen Bestand von ca. 5,81 Millionen Lichtbildern von ca. 3,65 Millionen Personen zugreifen. Und was die Geheimdienste biometrisch treiben, weiß der Fuchs und werden wir erst irgendwann in der Zukunft in der Zeitung lesen.

Nicht nur Gesichter werden biometrisch erfasst und verarbeitet. Erst Anfang November beschloss der Bundestag, Fingerabdrücke verpflichtend in Personalausweisen zu speichern. Und schon seit nunmehr dreizehn Jahren müssen reisewillige Bürgerinnen ihre Gesichtsbilder und Fingerabdrücke für den Pass abgeben.

Bitte angepasst und unauffällig verhalten

Biometrische Überwachung verletzt Grundrechte wie das Recht auf informationelle Selbstbestimmung und die Meinungsfreiheit. Menschen, die sich überwacht fühlen, verhalten sich vermeintlich konform. Neben der Meinungsfreiheit ist auch das Recht auf anonyme Teilnahme an Versammlungen gefährdet. Die Polizei kann mit Hilfe ihrer wachsenden Gesichter-Datenbanken immer mehr Menschen jederzeit, ungefragt und auch im Nachhinein identifizieren.

Ebenso können Dritte dank Gesichter-Suchmaschinen wie Clearview AI oder pimeyes viele Teilnehmende identifizieren. „Wer zum Beispiel bei Demonstrationen befürchten muss, trotz gesetzestreuem Auftreten identifiziert und gespeichert zu werden, der ändert möglicherweise sein Verhalten und geht nicht mehr demonstrieren“, so der Bundesdatenschutzbeauftragte Ulrich Kelber.

Reclaim Your Face

Der Start der europaweiten Kampagne „Reclaim Your Face“ durch ein Bündnis von zwölf Organisationen aus dem EDRi-Netzwerk ist ein deutliches Zeichen gegen die Art und Weise, wie private Unternehmen und Regierungen mit neuen Technologien experimentieren und Bürgerinnen auf bloße Datenpunkte reduzieren.

Die Kampagne wendet sich gegen den Einsatz von Gesichtserkennung und anderen biometrischen Überwachungstechnologien im öffentlichen Raum. Das Bündnis setzt sich ein für informationelle Selbstbestimmung und für das Recht, am öffentlichen Leben teilzunehmen – ohne ständig als potenzielle Verdächtige oder Versuchskaninchen behandelt zu werden, ohne permanent beobachtet und analysiert zu werden.

„Im Internet wird schon jetzt jeder unserer Schritte haargenau erfasst“, kommentiert Linus Neumann, Sprecher des Chaos Computer Clubs. „Durch Gesichtserkennung und andere biometrische Überwachungstechnologien würde das auch in der Offline-Welt Realität. Diese Erfassung muss jetzt gestoppt werden.“

Organisationen und Privatpersonen können sich der Kampagne durch Zeichnen der Petition anschließen.

Links

• Reclaim your Face!
• Petition
• Ich sehe, also bin ich ... Du. Gefahren von Kameras für (biometrische) Authentifizierungsverfahren
• Hacking fingerprint recognition systems
• Passwort, Chip, Biometrie? – Alles scheiße!
• Die Sendung mit dem Chaos - Iris-Scanner im Samsung Galaxy S8
• Venenerkennung hacken:
• Vom Fall der letzten Bastion biometrischer Systeme
• Wie kopiere ich einen Fingerabdruck?

https://www.ccc.de/de/854 2020-11-10T08:13:39+01:00 2020-11-10T08:13:39+01:00

Der EU-Ministerrat bereitet mit einer neuen Resolution den nächsten Versuch vor, sichere Ende-zu-Ende-Verschlüsselung, beispielsweise in Messengern, für Normalbürger unerreichbar zu machen. Das Papier ist Teil einer internationalen Strategie, die insbesondere von den Geheimdiensten der Vereinigten Staaten und Großbritanniens vorangetrieben wird. Ziel des Vorgehens ist es, Verschlüsselung für Endanwender zu schwächen.

Anbieter sollen nach dem Willen des EU-Ministerrats Mechanismen in ihre Produkte einbauen, die auf Anordnung durch MITM-Angriffe und Fremdschlüssel die Verschlüsselung unwirksam machen. Im nächsten Schritt sollen die marktbeherrschenden App-Store-Anbieter wie Apple und Google zur Kooperation gedrängt werden, um unkooperative Messenger auszuschließen.

Damit würde für technisch weniger versierte Bürger und Unternehmen der Zugang zu sicherer Ende-zu-Ende-Verschlüsselung faktisch unmöglich. Kriminelle und Terroristen hätten mit geringem Mehraufwand jedoch weiterhin keine Probleme, verschlüsselt zu kommunizieren.

Dieser weltweite Angriff auf die allgemeine IT-Sicherheit wird in euphemistische Formulierungen verpackt. Man wolle mit Firmen und der Akademia „gemeinsame Lösungen finden, die allen Anforderungen gerecht würden“. Nachdem frühere Anläufe wie etwa generelle Hintertür-Schlüssel am Widerstand von Zivilgesellschaft und Wirtschaft gescheitert sind, firmiert der neue Anlauf nun als „verantwortungsvolle Verschlüsselung“ („responsible encryption“).

Jede sich bietende Gelegenheit wird genutzt

Der Aufreger der Woche ist den Innenpolitikern und Geheimdiensten dabei relativ egal: Als Begründungen für die Notwendigkeit der Maßnahmen werden – je nach innenpolitischer Wetterlage des Tages – politischer Extremismus, Terrorismus oder Darstellungen von Kindesmissbrauch verwendet. Bei jeder sich bietenden Gelegenheit werden aus den konziliant klingenden Formulierungen konkrete Forderungen, Verordnungen und Gesetze angeschoben. Deswegen ist es jedes Mal aufs Neue wichtig, dass Wirtschaft und Zivilgesellschaft klar Position beziehen und Widerstand leisten.

Der „Verschlüsselungsstandort Nr. 1“ wird zum BER

Es ist noch keine sechs Jahre her, dass die Bundesregierung Deutschland als „Verschlüsselungsstandort Nr. 1“ ausrief. Nicht einmal ein Jahr später wurden die Staatstrojaner-Befugnisse für Strafverfolgungsbehörden erheblich ausgeweitet, und erst vor drei Wochen beschloss die Bundesregierung die Befugnis zum Staatstrojaner-Einsatz für sämtliche deutschen Geheimdienste.

Weshalb die jüngst drastisch ausgeweiteten Trojaner-Befugnisse nun schon wieder nicht mehr genügen sollen, begründen die Verschlüsselungsfeinde wie immer nicht. Auch die vom Bundesverfassungsgericht angemahnte (BVerfG, 1 BvR 256/08) Überwachungsgesamtrechnung, die die Gesamtheit der Abschnorchel-Befugnisse der Behörden betrachtet, wird wieder einmal ignoriert.

Verschlüsselung ist Sicherheitsanker der Digitalisierung

Als WhatsApp 2016 Ende-zu-Ende-Verschlüsselung ausrollte, wurde diese Reaktion auf die Enthüllungen Edward Snowdens zu Recht international gefeiert und mancherorts mit Erleichterung aufgenommen. Gerade das Feld der Ende-zu-Ende-verschlüsselten Messenger ist essentiell für die weitere Innovation in der Online-Kommunikation und -Wirtschaft. Die Vertrauenswürdigkeit und Sicherheit der digitalen Kommunikation liegt auch der EU-Kommission am Herzen, die ihre Mitarbeiter Anfang des Jahres eindringlich zur Nutzung verschlüsselter Messenger drängte.

Diese Sicherheit nun zu unterminieren, ist eine klare Gefährdung der europäischen Wettbewerbsfähigkeit, Innovationskraft und Sicherheit: In einer digitalisierten Welt brauchen Unternehmen Schutz vor Wirtschaftsspionage und Bürgerinnen Schutz vor allumfassender Überwachung durch Konzerne, Regierungen und Kriminelle. Dieser noch lückenhafte Schutz muss jetzt massiv ausgebaut werden, wenn wir unsere liberale Gesellschaft und wirtschaftliche „Vorreiterstellungen“ erhalten wollen.

Gerade kleinere Unternehmen sind darauf angewiesen, den am Markt befindlichen Schutzmitteln vertrauen zu können. Dazu gehören insbesondere die in Deutschland so häufig beschworenen „hidden champions“. Aber auch die Großen der Branche sollten nicht als Handlanger von Regierungen instrumentalisiert und zur Schwächung ihrer Verschlüsselungsmaßnahmen gezwungen werden.

Wenn Verschlüsselung kriminalisiert wird, verschlüsseln nur noch Kriminelle

Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können. Wohl aber können versierte Nutzer auf kaputte Kryptographie verzichten. Im Ergebnis hätten nur noch Kriminelle wahren Schutz: If privacy is outlawed, only outlaws will have privacy.

International koordinierter Angriff: „Wer will nochmal, wer hat noch nicht?“

Die Vorstöße des EU-Ministerrats reihen sich ein in eine ganze Serie von weltweiten Angriffen auf Verschlüsselung. So waren zuletzt im Iran und China sichere Varianten des DNS- bzw. TLS-Protokolls blockiert worden.

Indien, Japan und die angelsächsische Geheimdienst-Koalition „Five Eyes“ blasen seit Jahren ins gleiche Anti-Krypto-Horn und haben in letzter Zeit wieder begonnen, entschiedener gegen Ende-zu-Ende-Verschlüsselung vorzugehen. Die EU-Kommission plant seit einigen Monaten einen ähnlichen Angriff, der mit dem Kampf gegen dokumentierten Kindesmissbrauch begründet wird.

Es geht um die digitale Zukunft von Wirtschaft & Zivilgesellschaft

„Das Vorhaben des EU-Ministerrats geht in die völlig falsche Richtung. Sichere Ende-zu-Ende-Verschlüsselung muss die Regel werden, um den Schutz von Wirtschaft, Zivilgesellschaft und Politik im 21. Jahrhundert zu gewährleisten. Stattdessen würde uns dieser Schuss ins eigene Knie zurück in die Steinzeit katapultieren“, sagte Dirk Engling, Sprecher des Chaos Computer Clubs.

Links:

Der Chaos Computer Club hat sich so oft in Stellungnahmen und Pressemitteilungen gegen derartige Angriffe auf Verschlüsselung positioniert und technische Argumente erklärt, dass es uns spontan nicht gelungen ist, eine vollständige Übersicht anzufertigen. Wir verweisen daher nur auf eine Auswahl der vergangenen Jahre:

• 2015: CCC fordert Ausstieg aus unverschlüsselter Kommunikation
• 2018: CCC fordert strikt defensive Cyber-Sicherheitsstrategie
• 2019: CCC gegen Angriff des Innenministeriums auf verschlüsselte Kommunikation
• 2020: CCC fordert kompromissloses Recht auf Verschlüsselung

https://www.ccc.de/de/853 2020-10-22T17:31:29+02:00 2020-10-22T14:59:43+02:00

Mit der Terrorist Content Online Regulation (TCO) will die Europäische Kommission die Verbreitung terroristischer Inhalte im Internet verhindern. Doch der nun eingebrachte Vorschlag gefährdet Meinungs-, Presse- und Forschungsfreiheit. Der CCC warnt erneut vor der Einführung von Uploadfiltern.

Kurz vor dem Abschluss der Verhandlungen zwischen Parlament, Kommission und den Mitgliedsstaaten versuchen die deutsche Ratspräsidentschaft und die EU-Kommission nun mit einem erneuten Vorstoß, Uploadfilter in die TCO aufzunehmen: Inhalte, die von einem Mitgliedsstaat nach eigenem Ermessen als „terroristisch“ eingestuft werden, sollen innerhalb einer Stunde von Plattformen gelöscht und das erneute Hochladen verhindert werden.

Uploadfilter

Plattformen sollen „proaktive“ und „spezifische Maßnahmen“ treffen, um das erneute Hochladen von als „terroristisch“ eingestuften Inhalten zu verhindern. Das ginge nur mit Uploadfiltern.

Nach Annahme der umstrittenen Urheberrechtsreform verlangte die deutsche Bundesregierung noch, „Uploadfilter nach Möglichkeit zu verhindern“. Auch entgegen dem Koalitionsvertrag werden Uploadfilter in der TCO allerdings jetzt von der Bundesregierung unterstützt.

Wir fordern den vollständigen Verzicht auf Uploadfilter.

Und dafür gibt es gute Gründe:

Benachteiligung kleiner Plattformen

Uploadfilter müssten sämtliche Inhalte prüfen, die von Nutzern hochgeladen werden. Da wenige Plattformen diesen immensen Aufwand leisten können, droht damit eine Zentralisierung auf wenige große Anbieter. Also werden erneut kleinere Plattformen hart belastet, während die kommerziellen Werbenetzwerke und großen Konzerne ihre Macht zementieren können.

Nach Vorstellung der Kommission müssten Plattformen künftig innerhalb von einer Stunde nach Eingang einer Beschwerde reagieren. In dieser Zeit ist dann darüber zu entscheiden, ob es sich um einen als „terroristisch“ eingestuften Inhalt oder etwa einen vom Zitatrecht gedeckten journalistischen Inhalt oder vielleicht Satire handelt. Insbesondere kleine und nicht-kommerzielle Plattformen können kaum den nötigen Aufwand leisten und die Kosten aufbringen, um eine solche Frist rund um die Uhr einhalten zu können. Für Community-Plattformen ist dies nicht weniger als die Bedrohung ihrer Existenz.

Wir fordern eine Lockerung der Anforderungen für kleine Plattformen.

Gefahr für Freiheit von Meinung, Presse, Forschung und Lehre

Uploadfilter sind nicht nur fehleranfällig, sondern berücksichtigen auch nicht den inhaltlichen Kontext einer Veröffentlichung. So kann das gleiche Bild für Propaganda einer terroristischen Vereinigung oder zur Presseberichterstattung genutzt werden. Probleme mit Overblocking sind also vorprogrammiert.

Bisher ist das Risiko der Unterdrückung legitimer journalistischer Inhalte und Meinungen in Deutschland noch gering. Darauf sollten wir stolz sein. Mit Sorge beobachten wir – wie übrigens auch die Kommissionspräsidentin – beunruhigende Entwicklungen in anderen, auch europäischen Ländern. Dem dürfen wir nicht noch Vorschub leisten, indem Uploadfilter in Europa verpflichtend werden. Und dass Uploadfilter fehlerfrei arbeiten würden, behaupten ja nicht mal die härtesten Verfechter.

Wir fordern den vollständigen Verzicht auf automatisierte Löschungen.

Der aktuelle Verhandlungsstand sieht nicht vor, dass Inhalte von Bloggerinnen, Content-Produzentinnen (etwa YouTuberinnen) und Nichtregierungsorganisationen den journalistischen Schutz genießen dürfen. Auch die kulturelle und die dokumentarische und wissenschaftliche Arbeit braucht besonderen Schutz gegen Uploadfilter.

Wir fordern explizite Ausnahmen für journalistische, archivarische, künstlerische und dokumentarische Nutzung in Bildungskontexten.

Löschbefehle aus dem EU-Ausland

Institutionen anderer europäischer Länder könnten durch Löschanordnungen unbequeme Inhalte in Deutschland und europaweit entfernen lassen. Gleichzeitig werden die – meist außerhalb der EU ansässigen – Großplattformen zu Hilfssheriffs für die Einhaltung der europäischen Grundrechte auserkoren, da allein ihnen die Kompetenz zugesprochen wird, einer Löschanordnung zu widersprechen. Das ist so offensichtlich falsch und kurzsichtig, dass sich die Balken biegen und sich die Diktatoren dieser Welt nun ins Fäustchen lachen können.

Wir fordern einen adäquaten Rechtsweg für Löschanweisungen.

Die Kommission will es nicht lernen

„Uploadfilter haben katastrophale Folgen für Wirtschaft und Gesellschaft. Für die Verbreitung tatsächlicher terroristischer Inhalte stellen sie indes keine Herausforderung dar“, sagte Linus Neumann, Sprecher des Chaos Computer Clubs.

Es wird Zeit, dass Bundesregierung und Kommission endlich erkennen, dass ihre unselige Uploadfilter-Idee an der Realität scheitert.

https://www.ccc.de/de/852 2020-09-13T00:53:15+02:00 2020-09-08T12:38:55+02:00

Am 3. September 2020 ist unser Ehrenmitglied Marc-André Janizewski nach langer schwerer Krankheit gestorben. Wir verlieren einen engen Freund und Verfechter unserer Werte und Träume. Der CCC drückt allen Angehörigen, Freunden und engen Begleitern von André sein tiefstes Mitgefühl aus.

Als „Pyonen“ sind Marc-André Janizewski und sein Mitstreiter Markus Ossevorth seit Jahrzehnten weit über Berlin hinaus als Pioniere der Open-Air-Kultur bekannt.

André verstand es wie kaum ein anderer, kreative Netzwerke aus Künstlerinnen jeder Art zu formen. Diese unverkennbare Handschrift brachte die Pyonen und den CCC erstmalig 1999 zusammen: Beim Chaos Communication Camp entstand durch eine enge Kooperation beider Gruppen nicht nur ein Hacker-Camp, sondern ein utopisches Gesamtkunstwerk. Durch seine visuelle Kreativität hauchte André der Location und dem Event die besondere Magie ein, der sich niemand entziehen konnte und die für viele weitere Veranstaltungen des Clubs prägend wurde.

Die gewachsene Freundschaft ebnete dem Club ganz neue Perspektiven, Wege und Möglichkeiten. Dies zeigte sich vor allem bei den nachfolgenden Camps, denen André jedes einzelne Mal mit seiner unverwechselbaren und außergewöhnlichen Raumgestaltung seinen persönlichen Stempel aufdrückte. Aber auch der Chaos Communication Congress und viele andere Veranstaltungen im Clubumfeld entwickelten sich durch seinen Einfluss zunehmend künstlerischer, diverser, utopischer. Nerd- und Partykultur verschmolzen zu einer neuen Community. Vielleicht wäre es ohne den „Realitätsfluchthelfer“ André so nie gekommen.

Für den nicht zu selten mit gewichtigen gesellschaftlichen und dystopischen Themen beschäftigten Club boten die Leichtigkeit und Schönheit von Musik, Kultur und freiem Himmel eine wichtige Energiequelle: einen kurzen Moment der Utopie.

André selbst blieb dabei immer zurückhaltend und still im Hintergrund. Mit Liebe zum Detail schuf er temporäre Räume und verträumte Situationen. Er selbst war zufrieden, wenn die Menschen sich daran erfreuten. Meist fand man ihn am Rande des Geschehens, gemütlich auf dem Sofa sitzend, das Treiben verträumt genießend.

Nie drängte er sich ins Rampenlicht, nie verlangte er viel Anerkennung – und es sollte zwanzig Jahre dauern, bis wir das erste Mal mit ihm und Markus öffentlich auf die lange und intensive gemeinsame Zeit zurückblicken konnten: Auf dem letzten Camp sprachen die beiden mit Tim Pritlove über diese besondere Zusammenarbeit.

Es ist allgemein bekannt, dass Ehrenmitgliedschaften vergeben werden, damit sich der Verein mit den Würdenträgern schmücken kann – nicht etwa umgekehrt. Wir sind stolz, dass „zewski“ und Markus seit 2016 Ehrenmitglieder des Chaos Computer Clubs sind.

Wir sind voller Dankbarkeit für die schöne und weite Reise, auf der André uns als maßgeblicher Navigator begleitet hat. Seine unverkennbare Handschrift steckt in vielem, was den Chaos Computer Club und seine Veranstaltungen heute für tausende Menschen ausmacht.

Wir hoffen, dass wir sie bewahren können.

Unsere Gedanken sind bei Andrés Angehörigen, Freunden und engen Begleitern.
Mach’s gut, André. You will be missed.

Links

• media.ccc.de: 20 Jahre Camp mit Marc-André Janizewski und Markus Ossevorth
• Küchenradio: KR190 Pyonen
• cre.fm: CRE 219: Partykultur – Über Musik, Gestaltung und gelebte Freiräume
• ARD Mediathek: Ein Dorf im Techno-Fieber (Video verfügbar bis 05.09.2021)

https://www.ccc.de/de/851 2020-09-04T08:49:32+02:00 2020-09-04T08:49:32+02:00

Wenn man schon mal dabei ist: Das CERT des CCC hat ein zweites Mal zugeschlagen und eine weitere digitale „Corona-Liste“ unter die Lupe genommen. Auch hier fanden sich Schwachstellen, allerdings hielt Verschlüsselung den Schaden in Grenzen. Die gemeldeten Schwachstellen konnten laut Betreiber neutralisiert werden.

In der vergangenen Woche haben Mitglieder des CCC Schwachstellen in einer Online-Plattform für Reservierungen und Kontakt-Erfassung in der Gastronomie gemeldet und veröffentlicht. [1] Durch vollmundige Versprechungen auf Twitter erregte ein Konkurrenzangebot ihr Interesse. Dort gefundene Schwachstellen hat der CCC gemeldet, sie wurden durch das Unternehmen zügig behoben.

Verschlüsselte Daten

Die betroffene Plattform verschlüsselt die erfassten Daten jeweils so, dass nur die Gastgeberin diese entschlüsseln kann. Diese Maßnahme verhinderte erfolgreich das retrograde Auslesen der erfassten Daten: Trotz der vorhandenen Schwachstellen blieben so über 400.000 Datensätze von über 1.000 Einrichtungen vor fremdem Zugriff geschützt.

Allerdings war es möglich, die zur Verschlüsselung verwendeten Schlüssel unbemerkt auszutauschen.

Die Folge eines solchen Angriffs:

1. Alle zukünftig erfassten Daten wären durch Angreiferinnen zugreifbar gewesen.
2. Die betroffenen Gastronominnen hätten keinen Zugriff mehr auf die Daten gehabt.

Im Ernstfall wäre also eine Kontaktverfolgung nicht mehr möglich gewesen.

Zügige Reaktion

Ein 18-seitiger Bericht über die Schwachstellen wurde dem betroffenen Unternehmen am 2. September um 17:09 Uhr übermittelt. Bereits am nächsten Tag um 12:20 Uhr wurde die Behebung der gemeldeten Schwachstellen schriftlich bestätigt. Wir danken für die Nachtschicht!

Die Schwachstellen waren im Einzelnen:

1. Fehlende Autorisierungsprüfung

Gastgeberinnen konnten die Stammdaten und die öffentlichen Schlüssel anderer Gastgeberinnen überschreiben und dadurch Vollzugriff auf deren Konten erlangen.

Diese Schwachstelle wurde laut Betreiber behoben.

2. Nicht-authentisierter Schlüsselaustausch

Öffentliche Schlüssel der Gastgeberinnen konnten von Besucherinnen nicht auf Echtheit geprüft werden. Ersetzte eine Angreiferin den öffentlichen Schlüssel einer Gastgeberin durch ihren eigenen, so konnte nur noch die Angreiferin – und nicht mehr die Gastgeberin – die damit verschlüsselten Kontaktdaten entschlüsseln.

Diese Schwachstelle verliert durch die Behebung von Schwachstelle #1 ihre akute Kritikalität und wird laut Betreiber zeitnah adressiert.

3. Administrativer Vollzugriff auf Content-Management-System

Unter Ausnutzung veröffentlichter Zugangsdaten des Content-Management-Systems und einer Änderung der Rollenzugehörigkeit gelang administrativer Vollzugriff auf bestimmte Inhalte der Online-Präsenz, die jedoch nicht im Zusammenhang mit der Kontaktverfolgung standen.

Diese Schwachstelle wurde laut Betreiber behoben, indem das Content-Management-System durch statische Seiten ersetzt wurde.

4. Code-Ausführung im Content-Management-System

Durch Hochladen ausführbarer PHP-Skripte konnten Nutzerinnen des Content-Management-Systems beliebigen Code ausführen.

Diese Schwachstelle wurde laut Betreiber behoben, indem das Content-Management-System durch statische Seiten ersetzt wurde.

Bewertung: Verschlüsselung schützt

Nicht selten wird Verschlüsselung von Strafverfolgungsbehörden und Geheimdiensten verteufelt. Am vorliegenden Beispiel zeigt sich einerseits ihre Wichtigkeit für Datenschutz, Privatsphäre und IT-Sicherheit: Dank Verschlüsselung blieben über 400.000 Datensätze von über 1.000 Einrichtungen vor fremdem Zugriff geschützt. Weitere 300.000 Datensätze blieben geschützt, weil die Betreiber der Löschpflicht nachkommen.

Andererseits zeigen sich auch übliche Tücken bei der Implementierung: Wenn Schlüssel nicht unabhängig verifiziert werden, können sie unbemerkt ausgetauscht werden. Wenn Daten mit dem falschen Schlüssel verschlüsselt sind, sind sie verloren.

„Wer verschlüsselt, kann auch mal große Klappe haben“, sagte Martin vom CERT mit Bezug auf ein vollmundiges Versprechen der Betreiber von darfichrein.de.

Das CERT (Chaos Emergency Response Team) ist der Brandschutz- und Sanitätsdienst des CCC.

Links:

[1] CCC hackt digitale „Corona-Listen“

https://www.ccc.de/de/850 2020-09-04T18:02:41+02:00 2020-08-28T06:34:28+02:00

Mitglieder des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen in einem weit verbreiteten Cloud-System für gastronomische Betriebe entdeckt und gemeldet. In Corona-Listen und Reservierungen waren mehrere Millionen sensible Datensätze einsehbar. Der Datenbestand reichte bis zu zehn Jahre zurück. Der Cloud-Service wurde informiert und hat die Schwachstellen nach eigenen Angaben beseitigt. Der CCC empfiehlt den Verzicht auf Cloud-Lösungen und rät dazu, Daten da zu sammeln, wo sie benötigt werden – in den Restaurants.

Das Chaos Emergency Response Team (CERT) ist vielen bekannt als das Sanitäts- und Brandschutz-Team auf Veranstaltungen des CCC. Doch auch in der veranstaltungsfreien Zeit engagiert sich das CERT stets für die Sicherheit seines Umfelds.

Digitale Corona-Listen

Bei einem gemeinsamen Restaurantbesuch wurden Mitglieder des CERT gebeten, sich in eine digitale „Corona-Liste“ einzutragen. Die gastgebenden Gastronominnen wollten die verpflichtende Datenerfassung offenbar modern und unkompliziert gestalten – mit Hilfe einer Cloud-Software.

Deren vollmundige Versprechen über die Sicherheit der erfassten Daten weckten Argwohn und Altruismus des CERT-Teams. Wie erwartet hatte das System akuten Bedarf an Sanitäts- und Brandschutzmaßnahmen durch Spezialkräfte des CCC.

Über 87.000 Corona-Datensätze und 5,4 Mio. Reservierungen

Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten*.

Im betroffenen System wurden jedoch nicht nur Corona-Listen, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Der Cloud-Service wirbt damit, monatlich über 96 Mio. Euro Umsatz von 7,7 Mio. Kundinnen sowie 600.000 Reservierungen über das System abzuwickeln*. Persönliche Daten von Besucherinnen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst.

Insgesamt war der Zugriff auf 4,8 Mio. Personendatensätze aus über 5,4 Mio. Reservierungen möglich, wie der Cloud-Service bestätigt*.

Daten reichen über ein Jahrzehnt zurück

Erstaunt stellte das CERT fest, dass im System personenbezogene Daten gespeichert sind, die teilweise ein ganzes Jahrzehnt zurückreichen. Der Cloud-Service versteht sich als „Auftragsverarbeiter“ und verortet die Verantwortung zur Löschung bei den Gastronominnen. Die wiederum schienen sich dessen oft nicht bewusst zu sein und vertrauten verständlicherweise auf die Full-Service-Cloud.

Mehrere Schwachstellen

Mangelndes Rechte-Management

Durch eine fehlerhafte Prüfung der Zugriffsrechte konnte im Handumdrehen administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden. Andere Fehler in der API ermöglichten Nutzerinnen auch ohne besondere Rechte den Zugriff auf schützenswerte Daten, die nicht für ihre Augen bestimmt waren. So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen.

Unzureichend geschützte Passwörter

Auch unzureichend geschützte Passwörter konnten mittels einfachem API-Request abgerufen werden. Dabei fielen dem Katastrophenschutz des CCC nicht nur Hashes, sondern auch Passwörter im Klartext auf. Für neuere Accounts wurde immerhin eine zeitgemäße Hashing-Methode verwendet. Dennoch hätten in einer Stichprobe über 25% der Passwörter aus ihren Hashes geborgen werden können. Triviale Passwörter wie „1234“ deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin.

Das Risiko schlecht geschützter Passwörter geht über den betroffenen Dienst hinaus, weil Nutzerinnen oft dazu neigen, das gleiche Passwort für mehrere Accounts zu verwenden.

Großzügiges Bestellsystem

Haben Sie in der Vergangenheit einmal vergeblich auf Ihr bestelltes Essen gewartet? Oder wurde Ihnen in einer Hamburger Eck-Kneipe mit 42 Litern Bier eine spontane Freude bereitet? Vielleicht hatte einfach nur eine brasilianische Teenagerin Spaß an der offenen API… Diese hat es ohne weitere Hindernisse ermöglicht,

• die Speisekarten aller Restaurants einzusehen und damit
• für Dritte Bestellungen auszulösen oder zu stornieren,

selbstverständlich unter Umgehung sämtlicher gesetzter Einschränkungen. Weltweiter, grenzenloser Service!

Schnelle Reaktion des Cloud-Anbieters

Alle gefundenen Schwachstellen wurden durch die CERT-Mitglieder Sophie, Martin, cwoomio,
deinkoks, Lady_Raven, Metal_Warrior,
Wellenformer, blubbel und cbro
schriftlich dokumentiert und dem Betreiber gastronovi mit der Bitte um Behebung mitgeteilt.

In einer zügigen Reaktion bestätigte gastronovi alle gemeldeten Schwachstellen und machte sich an die umgehende Behandlung. Den lebensrettenden Sofortmaßnahmen folgt auf Rat des CCC nun auch eine ausführliche Diagnostik des Systems durch geschultes Fachpersonal.

CCC rät von digitalen „Corona-Listen“ ab

Laut gastronovi sind die gemeldeten Schwachstellen inzwischen kuriert. Doch auch in den Systemen anderer Cloud-Services wurden bereits ähnliche Schwachstellen gefunden.

„Denken first, digital second“, kommentiert Linus Neumann, Sprecher des Chaos Computer Clubs. „Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.“

So haben etablierte Cloud-Services bestehende Systeme oft nur hastig „umfunktioniert“, statt sich spezifisch mit den Sicherheits- und Datenschutzanforderungen des Contact-Tracings auseinanderzusetzen. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten.“

Empfehlungen für Besucherinnen

Sollte Ihr präferiertes Restaurant auf Cloud-Erfassung bestehen, raten wir zu neuen kulinarischen Abenteuern in anderen Etablissements.

Doch auch bei papierbasierter Erfassung empfiehlt der CCC das Einrichten einer gesonderten pseudonymen E-Mail-Adresse nur für diesen Zweck. Viele kostenlose Dienstanbieter ermöglichen zum Beispiel eine Weiterleitung von eingehenden Nachrichten an die eigentliche E-Mail-Adresse. Fünfzehn Minuten Aufwand gewährleisten Datensparsamkeit ohne das Risiko, eine wichtige Warnung zu verpassen.

Empfehlungen für die sichere Erfassung

Der Chaos Computer Club rät grundsätzlich von digitalen Corona-Listen ab – erst recht, wenn diese ihre Daten in einer Cloud speichern, statt im Restaurant.

Auch in unseren eigenen Hackspaces verwenden wir folgendes Papier-System:

1. Jede Besucherin oder Gruppe erhält einen gesonderten Zettel zur Erfassung, damit nicht die Daten anderer Gäste eingesehen werden können.
2. Der ausgefüllte Zettel wird in einen verschlossenen Briefkasten geworfen, um ihn dort vor neugierigen Blicken zu schützen.
3. Dieser wird am Ende des Tages in einen Umschlag geleert, welcher mit dem Datum des erfassten Tages beschriftet und versiegelt wird.
4. Die versiegelten Umschläge werden an einem sicheren Ort aufbewahrt.
5. Täglich wird ein Umschlag sicher vernichtet, dessen Frist abgelaufen ist – und ein neuer kommt hinzu.

Empfehlungen an den Gesetzgeber

Das Ziel, Besucherinnen im Falle eines Falles schnell informieren zu können, ist legitim und wichtig. Dennoch wurden dem Unterfangen eine Reihe unnötiger Probleme in den Weg gelegt:

1. Es häufen sich die Fälle, in denen die Listen für Polizei-Ermittlungen zweckentfremdet wurden. Derartige Maßnahmen motivieren Besucherinnen, falsche Daten in die Listen einzutragen.
2. Der Gesetzgeber sieht keinen Anlass, diesem Datenmissbrauch ein Ende zu setzen. Damit wird das geringe verbliebene Vertrauen weiter untergraben.
3. In vielen Einrichtungen liegen die Listen offen aus, was die Sorge vor unerwünschtem Kontakt durch andere Gäste weckt.

Leichtfertig verspieltes Vertrauen kann jetzt nur noch durch eine klare gesetzliche Regelung zurückgewonnen werden.

* Markierte Angaben wurden durch gastronovi schriftlich bestätigt oder konkretisiert.

https://www.ccc.de/de/849 2020-06-21T00:38:48+02:00 2020-06-19T17:27:46+02:00

Im Rahmen des Umbaus staatlicher Stellen in den Vereinigten Staaten durch die Regierung Trump wurde die Führung des Open Technology Funds ausgetauscht. Damit droht die Finanzierung wichtiger Open-Source-Projekte wegzubrechen. Dagegen stellt sich die Open-Source-Community mit einem offenen Brief, den auch der CCC zeichnet.

Erst am Mittwoch hat der Chaos Computer Club (CCC) im Bundestagsausschuss für Menschenrechte die Bedeutung von Technologien und Infrastrukturen zur Umgehung von Überwachung und Zensur betont. Nun droht der Open-Source-Community ein empfindlicher Rückschlag.

Journalistinnen und andere Zielpersonen von staatlichen und nicht-staatlichen Angriffen können auf verschiedene Open-Source-Tools zurückgreifen, um sich gegen Überwachung und Repression zu schützen. Transparenz und Überprüfbarkeit sind in diesem Bereich unverhandelbare Voraussetzung für die Sicherheit und Vertrauenswürdigkeit der verwendeten Systeme. Wie von selbst versteht sich, dass derartige Tools nicht wirtschaftlichen Erwägungen von kommerziell orientierten Unternehmen untergeordnet sein dürfen. Die vertrauensvollste Möglichkeit zur Finanzierung ihrer Entwicklung ist daher die Förderung von Not-for-profit-Projekten.

Der Messenger Signal und das Anonymisierungs-Framework Tor sind nur zwei Leuchtturmprojekte einer aktiven, aber ständig auch unter Finanzierungssorgen leidenden Community. Der Open Technology Fund (OTF) der US-Regierung hat sich in den letzten acht Jahren zu einer der wichtigsten Stützen dieser unabhängigen Community entwickelt.

Nun will die Trump-Administration dem ein schnelles und erbarmungsloses Ende bereiten:

• In der U.S. Agency for Global Media, welches den OTF verwaltet, wurde eine neue Trump-loyale und Bannon-nahe Führung installiert.
• Am 17. Juni wurde die OTF-Führung entlassen und das bisherige unabhängige und international besetzte Board durch fachfremde Trump-Loyalisten ersetzt.
• Eine koordinierte Lobbying-Kampagne will die bisherigen Budgets zur Förderung von proprietären Closed-Source-Systemen umleiten.
• Libby Liu, CEO des OTF, sah sich zum Rücktritt unter Protest gezwungen.

Zusammen mit vielen anderen internationalen Organisationen wendet sich der Chaos Computer Club gegen diesen koordinierten Angriff: Save Internet Freedom: Support the Open Technology Fund. Ebenfalls rufen wir andere Individuen und Organisationen dazu auf, den offenen Brief zu zeichnen. Es bleibt nur ein kurzes Zeitfenster, diesen immensen Schaden für die Open-Source-Community abzuwenden.

Gleichzeitig zeigt dieser Vorgang die verheerende einseitige Abhängigkeit bei diesen Open-Source-Technologien auf. Vergleichbare unabhängige Finanzierungsstrukturen in Europa fehlen schmerzhaft. Auch wenn der bevorstehende Schlag noch abgewendet werden kann, müssen Deutschland und Europa dringend solide Strukturen zur unabhängigen Finanzierung von Open-Source-Werkzeugen für Informations- und Kommunikationsfreiheit aufbauen.

https://www.ccc.de/de/848 2020-06-17T08:43:49+02:00 2020-06-17T08:43:49+02:00

Am Mittwoch beschäftigt sich der Menschenrechtsausschuss des Deutschen Bundestags mit aktuellen Entwicklungen bei Überwachungstechnologien, Anonymisierungsdiensten und der Exportkontrolle von Dual-Use-Technologien. Der Chaos Computer Club veröffentlicht seine schriftliche Stellungnahme.

Der CCC wird neben seiner schriftlichen Stellungnahme [1] zu den Fragen der Abgeordneten am 17. Juni auch mündlich Auskunft geben, die Anhörung wird aufgezeichnet [2].

Der weltweite Schutz von Menschenrechten wird immer stärker zu einer Frage der Technologiepolitik. Deutschland und Europa als Herstellerländer von Überwachungs- und Dual-Use-Technologien müssen sich der Verantwortung stellen, die mit ihrer Rolle als Produktionsstandort einhergeht. Menschenrechte müssen als mindestens gleichwertiges Ziel gegenüber außen- oder sicherheitspolitischen Zielen angesehen werden. Besser noch sollten sie übergeordnete Basis und Wertesystem allen gesetzgeberischen und staatlichen Handelns sein.

Verschlüsselung und Anonymisierungsdienste wie Tor sind grundlegend für sichere Kommunikation und den Schutz von Informationen vor dem Einblick durch Fremde. Für von Repression oder Überwachung betroffene Menschen ist es essenziell wichtig, dass Verschlüsselungsverfahren und Anonymisierungdienste weder abgeschwächt noch mit Hintertüren versehen werden. Jegliche Bestrebungen demokratischer Staaten, Anonymisierung und Verschlüsselung für die Zwecke von Strafverfolgung und Geheimdiensten zu verbieten, einzuschränken oder zu schwächen, führen unmittelbar zu einer drastischen Verschlechterung der Situation von schutzbedürftigen Personen, deren Menschenrechte auf vielfältige Weise verletzt werden.

Die derzeitige Rolle Deutschlands und der EU bei der Ausrüstung von nicht-demokratischen Regimen mit Überwachungssystemen und Dual-Use-Technologien bedarf einer Neubewertung und einer Reform der Exportkontrolle. Dies ist umso wichtiger, je weiter für Überwachung und Menschenrechtsverletzungen geeignete Dual-Use-Technologien wie Gesichtserkennung und Distanzbiometrie oder die Auswertung digitaler Lebensspuren verbreitet werden. Automatisierte Massen-Gesichtserkennung sollte grundsätzlich verboten und ihr Export untersagt werden.

Im aktuellen Trilog zur Dual-Use-Verordnung auf EU-Ebene werden gerade neue Regeln für den Export von Überwachungssystemen gesetzt. Eine Ausweitung und gleichzeitige Modernisierung der Exportkontrolle ist unbedingt notwendig, um Europa nicht weiter zum digitalen Handlanger von Diktaturen zu machen.

Weiterhin sollte im Rahmen des grundlegenden Primats der Menschenrechte die Verwendung von im Rahmen von EU-geförderten Projekten erzeugten Ergebnissen und insbesondere Software durch die Festlegung einer Verwendungslizenz reguliert werden, die ihre Benutzung in Überwachungssystemen ausschließt.

Links

• [1] Stellungnahme des Chaos Computer Clubs an den Ausschuss für Menschenrechte und humanitäre Hilfe des Deutschen Bundestags zum Thema Menschenrechte und politische Teilhabe im digitalen Zeitalter (pdf)
• [2] Ankündigung der Anhörung beim Deutschen Bundestag

https://www.ccc.de/de/847 2020-05-26T17:16:44+02:00 2020-05-26T15:51:17+02:00

Mit dem geplanten Patientendaten-Schutz-Gesetz sollten auch Schwachstellen beseitigt werden, auf die der Chaos Computer Club (CCC) im Dezember zum 36C3 öffentlich hinwies. Leider misslingt dem Bundesgesundheitministerium auch dieser erneute Anlauf. Der CCC wurde als Sachverständiger in der Anhörung zum Gesetzentwurf geladen und veröffentlicht heute seine schriftliche Stellungnahme.

Auf dem 36C3 präsentierten Sicherheitsforscher des CCC, wie sich Unbefugte gültige Heilberufsausweise, Praxisausweise, Konnektor- und Gesundheitskarten auf die Identitäten Dritter verschaffen können. Damit gelang anschließend der Zugriff auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten.

Ein Investigativteam des NDR ließ sich sogar einen Arztausweis an die Käsetheke liefern und bestätigte so den Befund des CCC eindrücklich.

Doch statt die Mängel wie vom CCC gefordert abzustellen, werden diese nunmehr gesetzlich festgeschrieben. Mit den neuen Regelungen soll die Verpflichtung zur sicheren Identifikation des Versicherten bei Kartenbeantragung vollständig entfallen. Die Ausgabe der Gesundheitskarte wird nur noch auf niedrigem Sicherheitsniveau vorgeschrieben.

Krankenkassen als Herausgeber der Gesundheitskarte, dem Zugangsschlüssel zur kommenden elektronischen Patientenakte und damit Deutschlands größtem Gesundheitsdatenschatz, sollen mit dem Gesetzentwurf zudem von den Sanktionen der Datenschutzgrundverordnung (DSGVO) ausgenommen bleiben. Dabei kommen sie ihren datenschutzrechtlichen Verpflichtungen regelmäßig nicht nach, wie die spätestens seit 2014 wiederholt ausgenutzten Mängel bei der Beantragung und Ausgabe der Gesundheitskarte zeigen. Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der Krankenkassen von mehr als 25 Mrd. Euro völlig unzureichenden Bußgeldvorschriften entstammen dem zahnlosen alten Bundesdatenschutzgesetz (BDSG) und setzen keinen dringend notwendigen Anreiz zur Behebung dieser langjährigen Versäumnisse.

„Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig“, sagte Martin Tschirsich, der als Sachverständiger des CCC dem Gesundheitsausschuss am 27. Mai Auskunft geben wird. Seine Initiativ-Bewerbung als Sachverständiger hatte er schon auf der Bühne des 36C3 mit der Demonstration der Schwachstellen eingereicht.

Der CCC veröffentlicht schon heute die schriftliche Stellungnahme zur Sachverständigenanhörung im Gesundheitsausschuss des Deutschen Bundestags am 27. Mai.

Links:

• Stellungnahme zur Sachverständigenanhörung im Gesundheitsausschuss am 27. Mai 2020
• Pressemitteilung Dez. 2019: CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk
• Vortrag Dez. 2019: "Hacker hin oder her": Die elektronische Patientenakte kommt!
• Aktueller Entwurf des Patientendaten-Schutz-Gesetzes
• Anhörung zum Patientendaten-Schutz-Gesetz

https://www.ccc.de/de/846 2020-05-19T15:19:45+02:00 2020-05-19T15:19:45+02:00

Der deutsche Auslandsgeheimdienst BND muss sich künftig besser kontrollieren lassen, darf aber die Massenüberwachung der Telekommunikation fortführen. Dem Gesetzgeber hat das Bundesverfassungsgericht mit seinem heutigen Urteil erneut ins Stammbuch geschrieben, wie eklatant er beim BND-Gesetz die Grundrechte missachtet hat.

Mit seinem Urteil [1] zum BND-Gesetz hat das Bundesverfassungsgericht heute die unbeschränkte massenhafte Kommunikationsüberwachung durch den Bundesnachrichtendienst als grundgesetzwidrig erkannt. Das Urteil beendet den bisherigen Ansatz der Massenüberwachung, bei der der Geheimdienst im Wesentlichen nach eigenem Gutdünken und ohne effektive Kontrolle agieren konnte und Nicht-Deutsche als Überwachungsfreiwild galten. Die Vorschriften des Urteils für eine zukünftige Regelung sehen eine unabhängige und umfangreiche Kontrolle der geheimdienstlichen Überwachungsmaßnahmen vor. Dafür muss eine entsprechende Instanz aufgebaut werden.

Zwar hat das Gericht durch die Anerkennung der Grundrechte auch für Ausländer einen Pflock für die Menschenrechte eingeschlagen, erlaubt aber eine Weiterführung der bisherigen Massenüberwachung. Verlangt wird jedoch eine stärkere Zielgerichtetheit mit gesetzlicher Neuregelung und einer neuen Kontrollinstanz. Dem Gesetzgeber wurde aufgegeben, den Schutz des Kernbereichs privater Lebensgestaltung für die Betroffenen der BND-Überwachungsmaßnahmen zu verbessern.

„Entscheidend wird sein, mit welchen Mitteln und Rechten diese neue Kontrollinstanz ausgestattet wird. Daran wird sich bemessen, ob sie den Geheimdienst wirksam kontrollieren kann“, sagte Frank Rieger, einer der Sprecher des Chaos Computer Clubs. „Das Gericht hat die Praxis der Massenüberwachung an sich nicht beendet, es hat aber eine bessere Kontrolle vorgeschrieben.“

Das Verfassungsgericht hat durch das Urteil dem seit den Snowden-Enthüllungen offensichtlichen Graubereich des internationalen Ringtausches von Geheimdienst-Abhördaten Beschränkungen auferlegt. Insbesondere die bisherige Praxis des unkontrollierten Datentauschs zur Umgehung von Abhör-Beschränkungen ist dann nicht mehr möglich. Das Schattenreich der bilateralen Geheimdienst-Abkommen soll nun – soweit es den BND betrifft – einer Kontrolle und Nachvollziehbarkeit unterworfen werden.

„Leider hat sich das Gericht nicht dazu durchringen können, die globale Überwachungspraxis des BND grundsätzlich zu beenden. Es versucht nur, sie in einen konkreteren rechtlichen Rahmen zu pressen“, fasste Frank Rieger zusammen. „Dass Grundrechte prinzipiell für alle Menschen weltweit gelten, ist eine wichtige Entscheidung. Leider wird sie im Urteil durch diverse mögliche Gründe für Grundrechtseinschränkungen deutlich relativiert.“

Noch vor dem Ende des BND-NSA-Untersuchungsauschusses wurde das BND-Gesetz 2017 reformiert. Im Wesentlichen wurde dabei die rechtswidrige Praxis des Auslandsgeheimdiensts ins Gesetz gegossen. Eine längst überfällige wirksame Geheimdienstkontrolle wurde nicht vorgesehen.

Das Bundesverfassungsgericht hat mit diesem Urteil zum wiederholten Male ein Überwachungsgesetz als verfassungswidrig eingestuft. Dass die Politik weit entfernt davon ist, schon im Gesetzgebungsverfahren grundgesetzkonforme Regelungen zu finden, ist und bleibt ein Skandal. Der Gesetzgeber muss nach diesem Urteil endlich reflektieren, wie er sich zu den Grundrechten stellt und ob er sich weiterhin so grobe Schnitzer wie den Verstoß gegen das Zitiergebot leisten will. Abstruse Konstrukte wie die „Funktionsträgertheorie“ oder die „Weltraumtheorie“ wurden vom Bundesverfassungsgericht mit diesem Urteil komplett abgeräumt.

Der Chaos Computer Club war im Rahmen des Verfahrens als Sachverständiger für das Bundesverfassungsgericht tätig und hat dazu eine Stellungnahme verfasst. [3] [4]

Links:

• [1] Bundesverfassungsgericht: Meldung vom 19. Mai 2020
• [2] Hintergrund zur Beschwerde bei „Reporter ohne Grenzen“
• [3] Meldung zur Stellungnahme des CCC
• [4] Stellungnahme des Chaos Computer Clubs zur Beschwerde beim BVerfG zur Auslands-Auslands-Überwachung

https://www.ccc.de/de/845 2020-04-24T08:02:45+02:00 2020-04-24T08:02:45+02:00

Ein gemeinsamer offener Brief netzpolitischer Organisationen fordert die Bundesregierung auf, das von ihr präferierte Konzept für eine Tracing-App gegen die Corona-Pandemie aufzugeben. Verfolgt sie es weiter, kann kein Vertrauen bei den Nutzern aufkommen, und ein Scheitern wäre unausweichlich.

Die Bundesregierung zieht ein Konzept für die geplante „Contact Tracing“-App vor, das eine zentrale Instanz beinhaltet. Damit ist sie auf dem Holzweg. Denn es herrscht internationale Einigkeit unter Experten und Wissenschaftlern, dass der dezentrale Ansatz der bessere ist. Selbst Apple und Google haben das eingesehen und ihn implementiert, obwohl sie sonst nicht gerade scheu sind, Daten ihrer Nutzer zu sammeln.

Daher wenden sich heute netzpolitische Organisationen, darunter der Chaos Computer Club (CCC), mit einem offenen Brief an Bundesgesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun. [1]

Blickt man realistisch auf das Ziel, dass nämlich die App massenhaft genutzt werden soll, dann ist der zentrale Ansatz schon deswegen hinfällig, weil sich die beiden großen Anbieter mobiler Betriebssysteme bereits dagegen entschieden haben. Da kann sich die Bundesregierung noch so verrenken, damit ist der zentrale Ansatz weit entfernt von jeder Möglichkeit zur Realisierung. Gesundheitsminister Jens Spahn kann einen nationalen Alleingang gar nicht durchsetzen, wenn er nun auf den zentralen Ansatz pocht.

Die Corona-Tracing-App bringt ein hohes Risiko mit sich, da die anfallenden Daten hochsensibel und besonders zu schützen sind. Je mehr Daten verarbeitet werden, desto größer ist das Risiko einer De-Anonymisierung – auch durch Dritte, vor denen die Daten geschützt werden müssen. Gesundheitsdaten gehören per Definition zu den intimsten Daten von Menschen. Das lückenlose zentrale Verfolgen der Aufenthalte aller Bürger ist das Horror-Szenario schlechthin. Andere Beispiele von sorglos hingeschluderten Corona-Apps [2] haben gezeigt, dass die anfallenden sensiblen Datenhalden nicht angemessen geschützt werden und von Innen- und Außentätern missbraucht werden könnten.

Dies wissen auch technische Laien inzwischen und werden daher die Finger von einer solchen App lassen, selbst wenn sie grundsätzlich zur Hilfeleistung bereit wären. Dass auch Minister Spahn das weiß, darauf deutet die Peitsche hin, die er mit der App-Pflicht hinter dem Rücken versteckt hält. Dass eine solche Pflicht in Hinsicht auf die Millionen von Bürgern ohne Smartphone technisch hanebüchen ist, setzt der Posse nur die Krone auf.

Links

[0] CCC veröffentlicht die Zehn Prüfsteine für die Beurteilung von „Contact Tracing“-Apps.

[1] Offener Brief: Geplante Corona-App ist höchst problematisch, an Bundesgesundheitsminister Jens Spahn (pdf) und an Kanzleramtsminister Helge Braun (pdf)

• D64 – Zentrum für digitalen Fortschritt e. V.
• Chaos Computer Club e. V. (CCC)
• LOAD e. V.
• Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
• Gesellschaft für Informatik (GI) e. V.
• Stiftung Datenschutz

[2] CCC analysiert Corona-Datenspende des RKI

https://www.ccc.de/de/844 2020-04-20T18:36:08+02:00 2020-04-20T13:57:30+02:00

Der Chaos Computer Club (CCC) veröffentlichte heute die Analyse der im Namen des Robert-Koch-Institut (RKI) als "Corona Datenspende" verbreiteten App. Versprechungen über Sicherheit und Datenschutz bei geheimgehaltenem Quellcode hatten das Interesse der Sicherheitsforscher geweckt. Ihr Argwohn war berechtigt: Auch in einer Black-Box-Analyse ließen sich eine Handvoll Probleme identifizieren. Der Hersteller wurde informiert, bestätigte die Funde und gelobt Besserung.

Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“ geführt. Für derartige Anwendungen hat der CCC kürzlich zehn Prüfsteine veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar und die Pandemie beherrschbar machen, so die Hoffnung.

In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die SARS-CoV-2-Pandemie.

Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine Offenlegung von Architektur und Quellcode der App die wohl wichtigste vertrauensbildende Maßnahme gewesen.

Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC der „Datenspende“ auf den Zahn gefühlt.

Insgesamt werden im Rahmen der Analyse acht technische und organisatorische Aspekte bemängelt. Der CCC veröffentlicht heute die Ergebnisse dieser Analyse in einem detaillierten Bericht: Blackbox-Sicherheitsbetrachtung der Corona-Datenspende

• Cloudanbindung: Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen.
• Mangelhafte Pseudonymisierung: Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden.
• Unzureichender Schutz der Zugangsdaten: Bei Verknüpfung der App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben werden. In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
• Organisatorische Defizite: Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert. Dies öffnet Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten Betroffenenrechte können nicht gewährt werden, da nicht sichergestellt ist, dass es sich tatsächlich um den Betroffenen handelt. Das RKI holt keine wirksame Einwilligung in die Datenverarbeitung ein.

Fazit

Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. Der CCC konnte darin die Verletzung einiger „best practices“ feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der empfohlenen Maßnahmen zur Behebung.

Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives Handeln: Viele der identifizierten Risiken ließen sich durch Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu bringen.

Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, so dass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können. Indem auf die fertige technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.

Die Digitalisierung im Gesundheitswesen könnte ferner eine Basis schaffen, dass in Zukunft auf ähnliche gesellschaftliche Situationen schnell reagiert werden kann, wenn nun schnellstmöglich auch die organisatorischen Mängel um die elektronische Gesundheitskarte abgestellt werden. Gerade die Umsetzung der organisatorischen Maßnahmen verschlingt viel Zeit und kann nicht erst im Notfall durchgeführt werden

Download: Blackbox-Sicherheitsbetrachtung der Corona-Datenspende (PDF)

FAQ

Konnte der CCC auf meine Gesundheitsdaten zugreifen?

Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.

Hat das RKI bereits reagiert?

Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister übermittelt. Mit beiden stehen wir im Austausch.

Erste technische Verbesserungen wurden sofort nach der Übermittlung der Befunde implementiert und damit einhergehende Schwachstellen geschlossen.

Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?

Die technischen Mängel lassen sich teilweise rasch, teilweise aber nur mit einigem Entwicklungsaufwand beseitigen. Die organisatorischen Mängel können jedoch nur mit großem Aufwand beseitigt werden.

Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte Digitalisierung des Gesundheitswesens einen zügigen und zielgerichteten Einsatz solcher Apps erheblich erschwert.

Was können Nutzer unternehmen?

Grundsätzlich könnten erfolgreiche Angreifer Ihren Namen und Ihre Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie entscheiden, ob Sie überhaupt reagieren wollen.

In der Informiertheit liegt ein wesentlicher Punkt, um sich für oder gegen die Nutzung der App zu entscheiden. Neben den bereits vom Bundesdatenschutzbeauftragten Herrn Kelber genannten Punkten, dass die Nutzer eindeutig und widerspruchsfrei informiert sein müssen, welche Daten die App zu welchem Zweck sammelt, müssen die Bürger auch über die mit der Nutzung der App verbunden Risiken der Informationssicherheit informiert werden.

Unter iOS ist die Datenbereitstellung über Apple Health zu bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich ist.

Was hätte bei der Entwicklung der App besser laufen müssen?

Gerade vor dem Hintergrund des hohen Zeitdrucks, schnell eine App zu realisieren, hätte der Entwicklungsprozess anders gestaltet werden können. Die aktuellen Bemühungen im Rahmen der Entwicklung der „Contact Tracing“-Apps haben gezeigt, dass durch eine Nutzung von Experten aus verschiedenen Fachrichtungen Ergebnisse erzielt werden können, die weit über das hinausgehen, was einzelne Unternehmen mit begrenzten Ressourcen leisten können.

Indem auf eine bereits etablierte technische Lösung zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung dieser Expertenmeinungen verloren.

Kann ich die Datenspende auch nach Deinstallation der App noch abbrechen?

Sie können die Datenweitergabe manuell auch nach Deinstallation der App über ihren Fitnesstracker-Anbieter beenden. Das Vorgehen bei Datenspende über Apple Health hat das RKI in seinen FAQ beschrieben. Das Vorgehen bei Datenspende über Google Fit ist ähnlich: Öffnen Sie die Google Fit-App, und gehen Sie in die Einstellungen unter „Profil“. Unter „Verbundene Apps verwalten“ können Sie die Verbindung mit der Corona-Datenspende aufheben.

https://www.ccc.de/de/843 2020-05-03T00:03:25+02:00 2020-04-06T17:19:28+02:00

Als Möglichkeit zur Eindämmung der SARS-CoV-2-Epidemie sind „Corona-Apps“ in aller Munde. Der CCC veröffentlicht zehn Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive.

Politik und Epidemiologie ziehen aktuell gestütztes „Contact Tracing“ als Maßnahme in Erwägung, systematisch einer Ausbreitung von SARS-CoV-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung sollen Kontakte von Infizierten schneller alarmiert werden und sich dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll also weder uns selbst, noch unsere Kontakte schützen: Sie soll Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte geschützt werden.

„Contact Tracing“ als Risikotechnologie

Für die technische Implementierung dieses Konzepts gibt es eine Reihe an Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der konkreten Person.

Grundsätzlich wohnt dem Konzept einer „Corona App“ aufgrund der möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für „Privacy-by-Design“-Konzepte und -Technologien, die in den letzten Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit Hilfe dieser Technologien ist es möglich, die Potenziale des „Contact Tracing“ zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen. Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die Privatsphäre verletzen oder auch nur gefährden. Die auch bei konzeptionell und technisch sinnvollen Konzepten verbleibenden Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden.

Im Folgenden skizzieren wir gesellschaftliche und technische Minimalanforderungen für die Wahrung der Privatsphäre bei der Implementierung derartiger Technologien. Der CCC sieht sich in dieser Debatte in beratender und kontrollierender Rolle. Wir werden aus grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren empfehlen. Wir raten jedoch von Apps ab, die diese Anforderungen nicht erfüllen.

I. Gesellschaftliche Anforderungen

1. Epidemiologischer Sinn & Zweckgebundenheit

Grundvoraussetzung ist, dass „Contact Tracing“ tatsächlich realistisch dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich herausstellen, dass „Contact Tracing“ per App nicht sinnvoll und zielführend ist, muss das Experiment beendet werden.

Die App selbst und jegliche gesammelte Daten dürfen ausschließlich zur Bekämpfung von SARS-CoV-2-Infektionsketten genutzt werden. Jede andere Nutzung muss technisch so weit wie möglich verhindert und rechtlich unterbunden werden.

2. Freiwilligkeit & Diskriminierungsfreiheit

Für eine epidemiologisch signifikante Wirksamkeit setzt eine „Contact Tracing“-App einen hohen Verbreitungsgrad in der Gesellschaft voraus – also Installationen auf den Smartphones möglichst vieler Menschen. Diese weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren für die Nutzung ebenso wie die Incentivierung durch finanzielle Anreize.

Menschen, die sich der Nutzung verweigern, dürfen keine negativen Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von Politik und Gesetzgebung.

Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen, einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein. Die Implementierung restriktiver Maßnahmen, bspw. die Funktion „elektronischer Fußfesseln“ zur Kontrolle von Ausgangs- und Kontaktbeschränkungen, halten wir für inakzeptabel.

3. Grundlegende Privatsphäre

Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz erreicht werden.

Dabei sollen belegbare technische Maßnahmen wie Kryptografie und Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und "Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch das Infektionsschutzgesetz nicht hinreichend.

Die Beteiligung von Unternehmen, die Überwachungstechnologien entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab. Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen.

4. Transparenz und Prüfbarkeit

Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie herunterladen aus dem auditierten Quelltext gebaut wurde.

II. Technische Anforderungen

5. Keine zentrale Entität, der vertraut werden muss

Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale Server ist technisch möglich. Es ist technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von vornherein als fragwürdig ab.

Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist. Die Sicherheit und Vertraulichkeit des Verfahrens muss daher ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept und die Verifizierbarkeit des Quellcode gewährleistet werden können.

6. Datensparsamkeit

Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen Dauer hinausgehen, wie zum Beispiel Lokationsdaten.

Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden, dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen sensible Daten sicher verschlüsselt werden.

Für freiwillige, über den eigentlichen Zweck des Contact Tracing hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung muss in der Oberfläche der App eine klare, separate Einwilligung explizit eingeholt und jederzeit widerrufen werden können. Diese Einwilligung darf nicht Voraussetzung für die Nutzung sein.

7. Anonymität

Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich sein, ohne dass persönliche Daten jedweder Art erfasst werden oder abgeleitet werden können. Diese Anforderung verbietet eindeutige Nutzerkennungen.

IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen etc.

8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen

Das System muss so beschaffen sein, dass weder absichtlich noch unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile (auf konkrete Menschen zurückführbare Muster von häufigen Kontakten) aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging oder eine Verknüpfung der Daten mit Telefonnummern, Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.

9. Unverkettbarkeit

Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein, dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume verketten werden können.

10. Unbeobachtbarkeit der Kommunikation

Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z. B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen werden können, dass eine Person selbst infiziert ist oder Kontakt zu Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die Einblick in diese Systeme erlangen, sicherzustellen.

Rolle und Selbstverständnis des CCC

Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im Spannungsfeld zwischen Technologie und Gesellschaft. Unsere ethischen Prinzipien stehen für Privatsphäre, Dezentralisierung und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.

Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag Mindestanforderungen, denen eine "Corona App" entsprechen muss, um gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem Zertifikat oder Prüfsiegel versehen.

Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen zu lassen.

https://www.ccc.de/de/841 2020-04-03T02:01:03+02:00 2020-04-03T02:01:03+02:00

Die COVID-19-Pandemie ist ein globaler Gesundheitsnotstand, der eine koordinierte und groß angelegte Reaktion aller Regierungen weltweit erfordert. Die Anstrengungen der Staaten, das Virus einzudämmen, dürfen jedoch nicht in eine neue Ära der invasiven digitalen Überwachung münden.

Wir als unterzeichnende Organisationen fordern die Regierungen nachdrücklich auf, bei der Bekämpfung der Pandemie sicherzustellen, dass der Einsatz digitaler Technologien zur Verfolgung und Überwachung von Einzelpersonen und Bevölkerungsgruppen streng im Einklang mit den Menschenrechten erfolgt.

Technologie kann und soll bei diesen Anstrengungen, Leben zu retten, eine wichtige Rolle spielen, etwa bei der Verbreitung von Nachrichten zu Gesundheitsthemen und bei der Verbesserung des Zugangs zur Gesundheitsversorgung. Eine Zunahme von nicht freiwilligen digitalen Überwachungsbefugnissen des Staates, wie beim Zugang zu den Standortdaten von Mobiltelefonen, bedroht jedoch die Privatsphäre, die Meinungs- und Versammlungsfreiheit in einer Weise, die Rechte verletzen und das Vertrauen in die Behörden herabsetzen könnte – und damit die Wirksamkeit jeglicher Maßnahmen im Bereich des Gesundheitswesens untergräbt. Solche Maßnahmen stellen auch ein Risiko der Diskriminierung dar und können bereits marginalisierte Gemeinschaften unverhältnismäßig schaden.

Es sind außergewöhnliche Zeiten, aber die Menschenrechte gelten nach wie vor. Die Struktur der Menschenrechte ist in der Tat so gestaltet, dass die verschiedenen Rechte sorgfältig ausbalanciert werden können, um einzelne Personen und die Gesellschaft insgesamt zu schützen. Dabei können Staaten Rechte wie die Privatsphäre und die Meinungsfreiheit nicht einfach im Rahmen der Bewältigung einer Krise im Bereich des Gesundheitswesens missachten. Vielmehr wird durch einen Schutz der Menschenrechte auch das Gesundheitswesen gestärkt. Mehr denn je müssen die Regierungen jetzt rigoros sicherstellen, dass jegliche Einschränkung dieser Rechte mit den seit langem bestehenden Menschenrechtsstandards in Einklang steht.

Diese Krise bietet eine Gelegenheit, unsere gemeinsame Menschlichkeit zu demonstrieren. Wir können außerordentliche Anstrengungen zur Bekämpfung dieser Pandemie unternehmen, die mit den Menschenrechtsstandards und der Rechtsstaatlichkeit in Einklang stehen. Die Entscheidungen der Regierungen, um der Pandemie zu begegnen, werden das zukünftige Aussehen der Welt prägen.

Wir rufen alle Regierungen auf, auf die COVID-19-Pandemie nicht mit einer verstärkten digitalen Überwachung zu reagieren, es sei denn, die folgenden Bedingungen sind erfüllt:

1. Überwachungsmaßnahmen, die zur Bewältigung der Krise angewandt werden, müssen rechtmäßig, notwendig und verhältnismäßig sein. Sie müssen gesetzlich vorgesehen und durch berechtigte Ziele der öffentlichen Gesundheit, die von den zuständigen Gesundheitsbehörden festgelegt werden, gerechtfertigt sein und in einem angemessenen Verhältnis zu diesen Bedürfnissen stehen. Die Regierungen müssen die von ihnen ergriffenen Maßnahmen transparent machen, damit sie überprüft und gegebenenfalls später geändert, zurückgezogen oder aufgehoben werden können. Wir dürfen nicht zulassen, dass die COVID-19-Pandemie als Vorwand für eine wahllose Massenüberwachung dient.
2. Wenn Regierungen ihre Überwachungs- und Kontrollbefugnisse ausweiten, dann müssen diese Befugnisse zeitlich begrenzt sein und dürfen nur so lange fortbestehen, wie es nötig ist, um die aktuelle Pandemie zu bekämpfen. Wir können nicht zulassen, dass die COVID-19-Pandemie als Vorwand für Überwachung auf unbestimmte Zeit dient.
3. Staaten müssen sicherstellen, dass eine verstärkte Sammlung, Speicherung und Aggregation von persönlichen Daten, einschließlich Gesundheitsdaten, nur für die Zwecke der Bewältigung der COVID-19-Pandemie erfolgt. Daten, die zur Bewältigung der Pandemie gesammelt, aufbewahrt und aggregiert werden, müssen in ihrem Umfang begrenzt und zeitlich auf die Pandemie bezogen sein und dürfen nicht für kommerzielle oder andere Zwecke verwendet werden. Wir können nicht zulassen, dass die COVID-19-Pandemie als Vorwand dient, um das Recht des Einzelnen auf Privatsphäre auszuhöhlen.
4. Die Regierungen müssen alle Anstrengungen unternehmen, um die Daten der Menschen zu schützen, einschließlich der Gewährleistung einer ausreichenden Sicherheit aller gesammelten persönlichen Daten und aller Geräte, Anwendungen, Netzwerke oder Dienste, die an der Sammlung, Übertragung, Verarbeitung und Speicherung der Daten beteiligt sind. Alle Behauptungen, dass Daten anonym sind, müssen auf Beweisen beruhen und mit ausreichenden Informationen darüber, wie sie anonymisiert wurden, untermauert werden. Wir können nicht zulassen, dass Versuche, auf diese Pandemie zu reagieren, als Rechtfertigung für die Gefährdung der digitalen Sicherheit der Menschen benutzt werden.
5. Jeglicher Einsatz von digitalen Überwachungstechnologien zur Bewältigung von COVID-19, einschließlich Big Data und Systemen der Künstlichen Intelligenz, muss sich mit dem Risiko befassen, dass diese Instrumente die Diskriminierung und andere Rechtsverletzungen gegen Minderheiten, in Armut lebende Menschen und andere marginalisierte Bevölkerungsgruppen erleichtern, deren Bedürfnisse und Lebensrealitäten in großen Datensätzen möglicherweise verdeckt oder falsch dargestellt werden. Wir können nicht zulassen, dass die COVID-19-Pandemie die Kluft in der Wahrnehmung der Menschenrechte zwischen verschiedenen Gruppen der Gesellschaft weiter vergrößert.
6. Wenn Regierungen mit anderen öffentlichen oder privaten Einrichtungen Vereinbarungen über die gemeinsame Nutzung von Daten treffen, müssen diese auf einer Rechtsvorschrift beruhen, und die Existenz dieser Vereinbarungen und die zur Beurteilung ihrer Auswirkungen auf die Privatsphäre und die Menschenrechte erforderlichen Informationen müssen öffentlich bekannt gegeben werden – schriftlich, mit Verfallsklauseln, öffentlicher Aufsicht und anderen Schutzmaßnahmen als Vorgabe. Unternehmen, die an den Anstrengungen der Regierungen zur Bekämpfung von COVID-19 beteiligt sind, müssen mit der erforderlichen Sorgfalt sicherstellen, dass die Menschenrechte respektiert werden und jede Intervention von anderen geschäftlichen und kommerziellen Interessen abgewehrt wird. Wir können nicht zulassen, dass die COVID-19-Pandemie als Vorwand dafür dient, die Menschen im Dunkeln zu lassen, welche Informationen ihre Regierungen sammeln und an Dritte weitergeben.
7. Jede Reaktion muss eine Rechenschaftspflicht und Schutzmaßnahmen gegen Missbrauch beinhalten. Verstärkte Überwachung im Zusammenhang mit COVID-19 darf nicht in den Bereich der Sicherheits- oder Geheimdienstbehörden fallen und muss einer wirksamen Aufsicht durch geeignete unabhängige Gremien unterliegen. Darüber hinaus müssen auch Einzelpersonen die Möglichkeit erhalten, von allen Maßnahmen, mit denen Daten im Zusammenhang mit COVID-19 gesammelt, aggregiert, gespeichert oder genutzt werden, zu erfahren und diese anzufechten. Personen, die einer Überwachung unterzogen wurden, müssen Zugang zu wirksamen Rechtsmitteln haben.
8. Reaktionen auf COVID-19, bei denen Daten erhoben werden, sollten Mittel für eine freie, aktive und sinnvolle Beteiligung relevanter Interessengruppen, insbesondere von Experten des Gesundheitswesens und der am stärksten marginalisierten Bevölkerungsgruppen, vorsehen.

Alle Unterzeichner dieser gemeinsamen Erklärung.

https://www.ccc.de/de/840 2020-04-01T07:21:30+02:00 2020-04-01T07:21:30+02:00

Ein Bündnis aus zivilgesellschaftlichen Organisationen, die sich für eine unabhängige digitale Infrastruktur und freien Zugang zu Wissen einsetzen, fordert politische Unterstützung beim Aufbau eines gemeinwohlorientierten digitalen Ökosystems.

In Krisensituationen zeigt sich die Bedeutung von unabhängigen und belastbaren digitalen Infrastrukturen, die es Menschen, Organisationen und Firmen ermöglichen, ihren alltäglichen Aufgaben nachzukommen. Von den Umstellungen zur Eindämmung von Covid-19 haben bislang vor allem die großen Technologiekonzerne profitiert: Die Verlagerung des Lebens in die digitale Sphäre beschert ihnen größere Marktanteile, Nutzungszahlen und Datensammlungen. Um in Krisenzeiten nicht von ihnen abhängig zu sein, braucht es ein aktives digitales Ökosystem, das echte Wahlmöglichkeiten bietet.

Wer sich den Forderungen anschließen möchte, kann unter digitalezivilgesellschaft.org mitzeichnen.

Öffentliches Geld, Öffentliches Gut

Es braucht rechtliche Grundlagen, die es verpflichtend machen, dass mit öffentlichen Geldern erarbeitete Inhalte offen zugänglich und weiterverwendbar gemacht werden. Der Datenschutz muss dabei immer gewahrt sein. Dazu gehören: öffentlich finanzierte Software, Datenbestände und Informationen öffentlicher Stellen, Forschungs- und Bildungsinhalte öffentlich getragener Institutionen sowie die Inhalte des öffentlich-rechtlichen Rundfunks.

Entwicklung öffentlicher digitaler Infrastruktur

• Wir empfehlen kontinuierliche staatliche Investitionen in die Entwicklung und Instandhaltung digitaler Infrastruktur und den Aufbau widerstandsfähiger Netze.
• Wir fordern die Förderung von Dezentralisierung und einem breiten Ökosystem von Betreibern digitaler Infrastruktur, um digitale Souveränität zu erlangen und Abhängigkeiten von einzelnen Anbietern aufzulösen, durch den Abbau von Betreibermonopolen sowie den konsequenten Einsatz von offenen Standards, Freier- und Open-Source-Software-Technologien.

Öffnung der Digitalpolitik für gesellschaftlichen Input

Digitalpolitik, die das Gemeinwohl ins Zentrum stellt, lässt sich nur gemeinsam mit gesellschaftlichen Akteurinnen, Akteuren und Initiativen verwirklichen. Hierfür muss sich die Politik noch weiter für Vorschläge aus der Gesellschaft öffnen und diese in die Politikgestaltung miteinbeziehen. Dazu braucht es die Anerkennung zivilgesellschaftlicher Expertise und ein klares Versprechen, deren Wissen und Kompetenzen zu nutzen.

Gezielte Förderung

Die digitale Zivilgesellschaft ist nur durch das ehrenamtliche Engagement und die Spenden von Bürgerinnen und Bürgern arbeitsfähig. Gerade in Krisensituationen brechen diese Stützpfeiler schnell weg und bedrohen die Existenz von Vereinen, Stiftungen und Initiativen. In Deutschland mangelt es an niedrigschwelliger finanzieller Unterstützung für Organisationen und Sozialunternehmen aus der digitalen Zivilgesellschaft. Es braucht neue Fördermechanismen, die den Aufbau nachhaltiger Strukturen unterstützen und nicht nur Innovation im Blick haben, sondern auch die Instandhaltung und Weiterentwicklung bestehender Technologien. Möglich wäre eine solche Förderung beispielsweise durch eine vom Bund geförderte Stiftung öffentlichen Rechts, die Entwicklung, Wartung und Bereitstellung digitaler Technologien für die Gesellschaft fördert.

https://www.ccc.de/de/839 2020-03-21T13:21:25+01:00 2020-03-10T23:42:02+01:00

„Zu geeigneter Zeit?“, fragt Arthur Dent zu Beginn des „Anhalters“. Es gibt wahrlich keine geeignete Zeit, aber just am Sonntag, 8. März, am Tag, an dem „The Hitchhiker’s Guide to the Galaxy“ 42 Jahre alt wurde, ist unser guter Freund thw friedlich von uns gegangen. Wahrscheinlich hat er nur vergessen, uns von der Ankunft der „Herz aus Gold“ zu erzählen.

Der Selfmade-Unternehmer und begeisterte Netzwerker (von Menschen und Computern) bleibt uns als immer freundlicher und allzeit in sich ruhender Mensch in Erinnerung, der dennoch stets begeisterungsfähig war. Als ob er „Keine Panik“ vor 42 Jahren als Lebensmotto gewählt hätte. Seinem Organisationstalent, seiner Beharrlichkeit und Verlässlichkeit hat der Chaos Computer Club viel zu verdanken. Als „Hacker der ersten Stunde“ betrieb er eine der ersten privaten Mailboxen in der alten Republik. Später brachte er das Internet für Menschen und Firmen nach Hamburg. Bekannte Unternehmen der Internetwirtschaft hatten ihre ersten Server in seinem Rechenzentrum. Und auch dem CCC und der Wau-Holland-Stiftung bot er nicht nur Netz und Speicher, sondern auch Schreibtische und immer ein Heißgetränk, ein offenes Ohr und kluge Gedanken. „Dieser Knopf hier ist wahrscheinlich der empfehlenswerteste.“

Er konnte etwas, was heute fast ein wenig unmodern erscheint, besonders in sozialen Gefügen mit ehrenamtlichem Charakter: Er hat sich oft und herzlich bedankt bei Aktiven, für gelungene Hacks, für engagierte Arbeit, für die Organisation von Treffen oder größeren Veranstaltungen. Daran können und werden wir uns ein Beispiel nehmen.

Nachdem er die letzten Monate die operative Übergabe seiner Firma vorbereitete, wollte er in naher Zukunft den wohlverdienten Unruhestand antreten, um noch mehr als üblich am Meer sein zu können. Hoffentlich baut Slartibartfast einen schönen Fjord.

https://www.ccc.de/de/838 2020-03-06T22:59:42+01:00 2020-03-02T10:17:37+01:00

Der Bundestagsausschuss für Angelegenheiten der EU beschäftigt sich heute mit Maßnahmen zum Schutz der liberalen Demokratie in Europa. In seiner Stellungnahme geht der CCC auf Strategien der Zersetzung des politischen Diskurses ein, welche primär durch Meinungsmanipulation auf den „Social Media“-Werbeplattformen vorangetrieben werden. Wir veröffentlichen die Stellungnahme. Die dringendsten Forderungen sind die Regulierung oder Zerschlagung des Oligopols der Werbeplattformen und Investitionen in Medienkompetenz-Bildung, der Verzicht auf digitale Wahlen sowie die Schaffung von sicherer Open-Source-Software für die Wahlauswertung.

Am Montag findet von 14 bis 16 Uhr im Ausschuss für die Angelegenheiten der EU eine öffentliche Anhörung über den Schutz von demokratischen Willensbildungsprozessen und über manipulative Meinungsmache auf den Werbeplattformen statt. [1] Der Chaos Computer Club (CCC) veröffentlicht seine schriftliche Stellungnahme. [2]

Die Stellungnahme fasst Ziele und Methoden der Beeinflussung demokratischer Willensbildungsprozesse mit Hilfe der sogenannten „sozialen Medien“ zusammen. Durch die Verlagerung der gesellschaftlichen Kommunikation und Interaktion in diese kommerziellen Plattformen gewinnen Manipulationstrategien immer mehr Einfluss bei gleichzeitiger Erschwinglichkeit für jegliche Interessengruppen.

Im Vordergrund von manipulativen Kampagnen steht die gezielte Ausweitung von Verunsicherung und Konfusion in der Gesellschaft sowie die weitere Erosion des Vertrauens in Medien, Institutionen oder Parteien: Menschen sollen durch Informationsflut, Zweifel an Fakten und konträre Erklärungsmodelle ihr Vertrauen in staatliche und mediale Institutionen verlieren.

Gleichzeitig werden verschiedene Weltanschauungen gezielt gefördert und voneinander entfernt, um Dissens und Unruhe zu stärken. Dazu wird auf die von den Plattformen im Rahmen ihres primären Geschäftszwecks angebotene granulare Klassifizierung der Nutzer zurückgegriffen. Zahlenden Kunden – zu denen auch die Akteure von Desinformationskampagnen gehören – wird so die gezielte Ansprache von immer kleineren, präzise definierten Zielgruppen ermöglicht, um ihnen unterschiedliche Botschaften, Schwerpunkte und Zweifel zu vermitteln. Profilbildung, Zielgruppenfilterung und Microtargeting schaffen die Grundlage für politische Meinungsmanipulation – und sind die primären Geschäftsmodelle der „Sozialen Medien“.

„Eine Vielzahl von Akteuren, die Desinformation und politische Meinungsmanipulation betreiben, benutzt die sogenannten sozialen Medien für die Zerrüttung von gesellschaftlicher Willensbildung und damit der Demokratie“, sagte CCC-Sprecher Frank Rieger. „Es ist dringend nötig, das Grundproblem zu adressieren: die Konzentration von Manipulationsmacht bei den Werbeplattformen, die eben nicht nur für profane Produktwerbung, sondern auch für handfeste Desinformations- und Manipulationskampagnen benutzt werden.“

Transparenzanforderungen an die kommerziellen Plattformen und die Verbesserung der digitalen Mündigkeit der Nutzer durch dazu geeignete Bildungspolitik sind nur das Mindeste zum Beginn einer Gegenstrategie. Um sinnvolle Gegenmaßnahmen zu ergreifen, ist es nicht ausreichend, sich auf einzelne Plattformen und deren Regulierung oder auf bestimmte staatliche oder nichtstaatliche Akteure zu konzentrieren. Weil die Manipulationsmechanismen allen Akteuren mit hinreichend vielen Ressourcen zur Verfügung stehen, muss die Machtkonzentration der Plattformen beendet werden.

Da Gegen-Propaganda nur den Teufelskreis von Zweifel und Zerrüttung befördert, wäre eine Immunisierung der Zielgruppen durch Aufklärung, Medien- und Technikkompetenz die zweite Säule der Verteidigung. Eine Schulung im bewussten, aufgeklärten und informierten Umgang mit „Sozialen Medien“ gehört leider entgegen allem Rat sämtlicher Experten und Expertinnen in Deutschland nach wie vor nicht zu den Bildungsschwerpunkten. Dies bemängelt der CCC regelmäßig. [3] [4]

Um den demokratischen Prozess als dritte Säule aktiv gegen Angriffe auf der IT-Ebene zu schützen, ist es zudem nötig, sowohl die Infrastruktur der Parlamente als auch die Software für die Auswertung von Wahlen und Abstimmungen auf gut auditierbare, sichere Open-Source-Lösungen umzustellen. Entsprechende Empfehlungen hat der CCC schon zu früheren Gelegenheiten zusammengefasst. [5][6][7][8][9]

Links:

• [1] Öffentliche Anhörung im Ausschuss für die Angelegenheiten der Europäischen Union des Bundestags
• [2] Stellungnahme des CCC zu Bedrohungen demokratischer Willensbildungsprozesse in der EU und zur Rolle kommerzieller Werbeplattformen („Social Media“)

Frühere Stellungnahmen zur Medienkompetenz:

• [3] „Chaos macht Schule“: Forderungen für digitale Bildung an Schulen
• [4] Stellungnahme des CCC zum Digitalpakt in Hessen: Zeitgemäße Bildungskonzepte entstehen nicht von selbst

Frühere Stellungnahmen zur IT-Sicherheit:

• [5] Effektive IT-Sicherheit fördern
• [6] Nicht zielführend, dafür risikoreich: Stellungnahme zum geplanten IT-Sicherheitsgesetz
• [7] CCC fordert kompromissloses Recht auf Verschlüsselung

Frühere Stellungnahmen zur Integrität von Wahlen:

• [8] Manipulierbarkeit von Wahlcomputern gutachterlich belegt
• [9] Software zur Auswertung der Bundestagswahl unsicher und angreifbar

https://www.ccc.de/de/837 2020-01-27T15:28:34+01:00 2020-01-27T15:28:34+01:00

Der CCC setzt sich in einer Stellungnahme an den Innenausschuss des Bundestags für Stärkung und Ausbau der Verschlüsselung in Deutschland ein. Staatliche Bemühungen, Verschlüsselung einzuschränken und zu schwächen, muss ein endgültiger Riegel vorgeschoben werden.

Heute wird im Innenausschuss des Deutschen Bundestags über das „Recht auf Verschlüsselung“ diskutiert. In Anbetracht der nach wie vor alarmierenden Lage bei IT-Sicherheit und Datenschutz in Deutschland stellt sich die Frage, wieso über ein solches Recht überhaupt noch Diskussionsbedarf besteht:

• Deutsche Alleingänge in der Verschlüsselung gehen regelmäßig und zielsicher schief, siehe De-Mail [1, 2, 3] und beA [1, 2].

• Im Fokus der Gesetzgebungsverfahren liegt regelmäßig nicht etwa die Stärkung von Verschlüsselungstechnologien, sondern deren gezielte Schwächung, etwa durch Staatstrojaner oder Hintertüren bei Betreibern.

Der CCC wendet sich in Anbetracht dieser Schieflage mit einer schriftlichen Stellungnahme an die Ausschussmitglieder (pdf).

Unsere Forderungen im Einzelnen:

• Verschlüsselung muss die Regel werden, nicht die Ausnahme:
  Ein Recht auf Verschlüsselung muss nicht nur grundsätzlich gewährt, sondern auch aktiv ausgebaut und vorangetrieben werden.

• Verbot von Schwächung und Angriffen:
  Von staatlicher Seite bieten sich zwei grundsätzliche Möglichkeiten, in verschlüsselte Kommunikation einzugreifen:

  1. Das Ausnutzen bekannter Schwachstellen. Diese Schwachstellen müssen dann aber geheimgehalten werden und können auch von Dritten in potentiell allen IT-Systemen ausgenutzt werden.
  2. Verpflichtung der Anbieter: Wenn Diensteanbieter und Betreiber gezwungen werden, ihre Anwendungen mit Hintertüren zu versehen, wird das Vertrauen der Nutzer und Nutzerinnen in die IT grundsätzlich erschüttert.

• Verpflichtung zur Meldung von Sicherheitslücken:
  Werden Behörden Sicherheitslücken bekannt, sollen diese im Rahmen von Responsible-Disclosure-Verfahren behoben und veröffentlicht werden.

• Unabhängiges BSI:
  Der CCC wiederholt in diesem Zusammenhang seine Forderung nach einem kompromisslosen und unabhängigen BSI. Solange das BSI dem Innenministerium untersteht, kann es seinem Auftrag nicht kompromisslos gerecht werden, weil die demselben Ministerium unterstellten Behörden konträre Interessen verfolgen.

• Verwendung von frei verfügbaren, offenen Protokollen:
  Als Irrweg haben sich Versuche erwiesen, Verschlüsselung halbherzig, mit sogenannten Kompromissen, Ausnahmen und „besonderen Anforderungen“ individuell umzusetzen. Diese Versuche scheitern an ihrer Komplexität, ihren offenkundigen Schwächen und nicht zuletzt auch ihrer Sinnlosigkeit. Nur frei verfügbare, überprüfbare und offene Protokolle sollen genutzt werden dürfen. Die Verwendung von Verschlüsselungsverfahren, die nicht durch die internationale Forschungsgemeinschaft geprüft wurden, muss ausgeschlossen sein.

• Weiterentwicklung:
  Werden neue Kommunikationssysteme konzipiert, sind Verschlüsselungsverfahren nach Stand der Technik von Anfang an zu berücksichtigen. Die Entwicklung und regelmäßige Prüfung frei verfügbarer, offener Protokolle ist zu fördern.

Der CCC veröffentlicht seine Stellungnahme im Volltext: Chaos Computer Club (2019): Kompromisslose Verschlüsselung stärken (pdf)