Videoclips

167 Mitschnitte vom 34c3.

© VTT  Studio - stock.adobe.com

31.1.2018 (bz) – Vom 27. bis 30. Dezember 2017 fand der 34c3 in Leipzig statt. 167 sehenswerte Videomitschnitte von Livevorträgen der Veranstaltung stehen online. Vier Beispiele anbei.

 

 

Abendfüllendes Programm beim Chaos Computer Congress.

Beim 34c3 wurden 167 Vorträge gehalten, die tendenziell für jeden, der sich mit IT- und Datensicherheit und (begrüßens- oder beklagenswerten) Innovationen in der digitalen Welt interessiert, von Bedeutung sein dürften. Sie stehen online unter media.ccc.de/c/34c3. Es handelt sich mehrheitlich um in englischer Sprache vorgetragene Beiträge.

C3 steht für Chaos Computer Congress des Chaos Computer Clubs. Dieser fand zum 34. Mal statt. Daher die Abkürzung 34c3. Der Chaos Computer Club ist übrigens längst nicht so chaotisch wie sein Name vermuten lässt: In den vergangenen Jahren trat er sogar als Sachverständiger in Verfahren vor dem Bundesverfassungsgericht auf. Dabei wurde, so ist vom CCC zu hören, seine Expertise in Sachen Wahlcomputer, Vorratsdatenspeicherung, Hackerparagraph und Bundestrojaner angefragt.

Nachfolgend eine (subjektive) Auswahl von vier interessanten Beiträgen, die allesamt unter dem Veranstaltungsmotto "tuwatt" stehen:

  1. Dr. Brönner berichtet darüber, wie er einen Beitrag in die Wikipedia gebracht hat und wie dabei die Qualitätssicherung funktioniert.
  2. Ingo Dachwitz informiert über den aktuellen Stand der ePrivacy-Verordnung und ruft dazu auf, sich an der Diskussion darüber zu beteiligen.
  3. Peter Schaar vertritt in seiner gewohnt kämpferischen Weise die Position des Datenschützers – gegen den vom Staat ausgehenden Überwachungstrend.
  4. Sebastian Jünemann dokumentiert, wie sehr Nothilfeorganisationen in Katastrophengebieten von der Industrie beeinflusst bzw. auch behindert werden.

Wer etwas mehr über diese vier Vorträge erfahren mag, der lese diese vier zeitsparenden Zusammenfassungen:

 

Dr. Friede Brönner:
WHWP Walter Höllerer bei WikiPedia …
(31 min.)

Dr. Brönner widmet sich in seiner Dissertation (im Fach Medienwissenschaft der Technischen Universität Berlin) der Frage, wie Beiträge in der Wikipedia zustandekommen bzw. wie über einen jahrelangen Zeitraum die Sicherheit der Information in Wikipedia gewährleistet werden kann. Er beschreibt das am Beispiel eines Beitrages "Walter Höllerer bei Wikipedia", dessen Mitautor er war. Mitautor bedeutet, dass auch andere Autoren beteiligt waren. 113 Veränderungen von 89 Autoren hat er über 12 Jahre hinweg einzeln untersucht und bezüglich ihrer Relevanz bewertet. Walter Höllerer war übrigens ein Professor der Technischen Universität Berlin, zu dem es einen Eintrag in der Wikipedia geben sollte

Dr. Brönners Erkenntnisinteresse ist es zu zeigen, wie Qualität in der Wikidpedia zustande kommt: Er sieht die (vielen) Benutzer als Qualitätssicherungssystem der Wikipedia. Die Mehrheit der Autoren des Beitrags über Walter Höllerer, konkret 75, habe nur ein einziges Mal editiert, also den Beitrag nur geringfügig verändert. Entweder sei etwas aus ihrer Sicht falsch gewesen, oder es habe etwas gefehlt oder sei eigenes Wissen geteilt worden. Dies unterstütze die "These der vielen Augen" und lasse darauf schließen, dass viele Autoren der Wikipedia zunächst einmal nur Leser von Beiträgen gewesen seien. Ein Nazispam ("Edit43") sei innerhalb einer Minute von anderen Autoren wieder gelöscht worden – kaum ein Leser hätte das überhaupt bemerken können. Anhand der einzelnen Edits, die Dr. Brönner im Rahmen seiner Diss dokumentiert ("der Schatz der Doktorarbeit"), weist er nach, dass Weiterentwicklungen seines Beitrages in Wikipedia auch sprunghaft verlaufen können. Ebenfalls interessant zu beobachten sei es, dass im Verlaufe der vielen Änderungen die Strukturierung des Textes zugenommen habe. Wichtiges Qualitätsmerkmal der Wikipedia, so wird im Laufe des Vortrages deutlich, ist zudem die lückenlose Nachvollziehbarkeit der einzelnen Beitragsänderungen von Autoren. Auch die Beobachtung, dass die klassischen Rollenzuweisungen in der Wikipedia nicht mehr funktionieren, sei erwähnenswert: Es sei weder ein Chefredakteur zu finden noch zu vermissen. Jeder Autor sei gleichzeitig Redakteur, Lektor, Bildredakteur und zuständig für die Verschlagwortung. Die komplette Dissertation von Dr. Brönner soll in Kürze unter folgender Adresse veröffentlicht werden: https://de.wikipedia.org/wiki/Benutzer:Teamwhwp

 

Ingo Dachwitz:
"Lobby-Schlacht um die ePrivacy-Verordnung
Die EU hat die Wahl: Schutz von Menschen oder von Geschäftsmodellen?"
(55 min.)

In der EU wird gerade über die ePrivacy-Verordnung verhandelt (offiziell: "Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation"). Außerdem, so lernen wir von Ingo Dachwitz, enthält die Verordnung auch Regeln zur Rufnummernunterdrückung, zu Notrufen, Telefonbüchern, zur Informationspflicht von Sicherheitsanbietern bei Datenlecks und zu Direktmarketing.

Dachwitz, Redakteur bei Netzpolitik.org, sympathisiert mit dieser ePrivacy-Verordnung und dokumentiert in seinem Beitrag den industriellen Gegenwind gegen die Verordnung, wie er ihn sieht. Damit thematisiert er die Ambivalenz des Datenschutzes: Auf der einen Seite stärkt der Datenschutz potenziell die Bürgerrechte, auf der anderen Seite schwächt er potenziell die Industrie mit ihrem grenzenlosen Datenhunger, die personenbezogene Daten als handelbare Waren ("Rohstoff der Zukunft", Zitat Angela Merkel) betrachtet. Für die Bürger bedeute dies jedoch Kontrollverlust. Während viele diesen Trend für unaufhaltsam halten und bestenfalls als Chance betrachten, sehen andere die Risiken und versuchen gegenzusteuern. Dachwitz zählt zweifellos zur letztgenannten Gruppe und stellt die zunächst einmal verbraucherfreundlichen Rechtsgrundlagen dar. Darauf reagiere die Digitalindustrie, so Dachwitz, mit massivem Lobbyismus, indem sie konzertiert dafür werbe, die geplanten Gesetzregeln abzuschaffen. Er verweist auf Dokumente, die belegen, wie das Big-Data-Business versucht, die Regulierungsbestrebungen der EU in seinem Sinne zu beeinflussen. Dabei komme der "ganze Baukasten des Lobbyings zum Einsatz". Auch die Verlagsbranche sei dann auf den Anti-ePrivacing-Zug aufgesprungen. Das EU-Parlament habe die ePrivacy-Verordnung mit hauchdünner Mehrheit dennoch verabschiedet. Jetzt müsse sie noch vor dem EU-Ministerrat bestehen – der Lobbykampf, so Dachwitz, sei damit noch lange nicht vorbei. Dieser umfasse die Verbreitung folgender ePrivacy-Mythen der Tracking-Lobby:

  • Das Ende der Werbung
  • Gefahr für den Journalismus im Netz
  • Gefahr für Innovation und Fortschritt
  • Die US-Giganten gewinnen
  • Das Ende der Online-Reichweitenmessung
  • Barriere für von Nutzern gewünschte Dienste

Dachwitz hält diese Punkte für sehr starke Erzählungen, die in der Öffentlichkeit gut funktionierten. Er ruft die CCC-Teilnehmer dazu auf, sich politisch für die ePrivacy-Regelungen einzusetzen. Und, nicht ganz unwichtig, er beklagt, dass das Thema Datenschutz den meisten Nachrichtenmedien immer noch zu trocken vorkomme und zu kompliziert sei. Es gebe außer ein, zwei Fachmedien kaum jemand, der über das Thema Datenschutz berichte.

 

Peter Schaar (Ex-Bundesbeauftragter für Datenschutz):
Trügerische Sicherheit
Wie die Überwachung unsere Sicherheit gefährdet (1:01 std.)
(61 min.)

Der prominente Datenschützer Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, hält einen Vortrag mit Pflichtlektürencharakter für jeden Datenschützer. Er startet mit einem Verweis auf das Buch "Leviathan" von Thomas Hobbes aus dem Jahre 1651. Der Leviathan, eigentlich ein biblisch-mythologisches Seeungeheuer, war Sinnbild für eine umfassende (staatliche) Sicherheit von Gottes Gnaden. Von diesem Buch leitet Schaar über zu den "Leitlinien für einen starken Staat in schwierigen Zeiten" von Thomas de Maizière aus dem Jahr 2017, um nachzuweisen, dass das Sicherheitsbedürfnis der Bevölkerung und deren Angst vor Terroranschlägen durch die Diskussion um Antiterrorgesetze noch befeuert werde. D. h., so Schaar: "Die Sicherheitsgesetzgebung führt nicht automatisch zu mehr Sicherheit – sie führt auf jeden Fall aber zu Verunsicherung."

Schaar erhärtet seine Thesen mit Hilfe von Statistiken, die die Entwicklung der Terrorangst in Beziehung setzen zu wichtigen Kalenderdaten der Gesetzgebung. Die Urteile des Bundesverfassungsgerichtes, die konkrete Sicherheitsgesetze (z. B. großer Lauschangriff, Staatstrojaner, BKA-Gesetz) wieder einschränken, führten, so Schaar auf Basis seiner Statistiken, zu einer Abnahme der Angst vor Terroranschlägen. Schaars Interpretation: "In dem Moment, wo die Gesellschaft in einen Diskurs tritt, der eben nicht alleine sicherheitspolitisch, sondern auch durch die Grundrechte geprägt ist, ( … ) fühlen sich Menschen wieder sicherer." Damit hat er sein Grundcredo als Datenschützer definiert.

Von da an ist Schaars Beitrag relativ durchgängig von Ironie geprägt: "Dieses sogenannte Videoüberwachungsverbesserungsgesetz – es gibt ja wirklich Wortmonster, die man kaum noch überbieten kann in der Fantasie ( … ) ." Oder: "Vorratsdatenspeicherung ist ja eine geeignete Maßnahme, wie viele wissenschaftliche Studien ergeben haben. Das ist auch richtig, den Heuhaufen zu vergrößern, wenn man die Stecknadel wirklich finden will."

Kritisch geht Schaar mit den technischen Möglichkeiten der intelligenten Gesichtserkennung zu Gericht. Beim Pilotprojekt im Berliner Bahnhof Südkreuz unter Federführung des Innenministeriums seien Gesichtserkennungsraten von 70 bis 85 Prozent als Erfolg dargestellt worden. Schaar rechnet nach und kommt zu dem Ergebnis, dass es bei dieser Art der Videoüberwachung 480 Fehlalarme pro Tag bzw. einen alle drei Minuten gegeben haben muss. Sicherheitsberater, die sich mit biometrischen Erkennungsquoten auskennen, dürften die Ironie in Schaars Worten verstehen: "Es ist wirklich praktikabel".

Im Folgenden stellt Schaar kämpferisch und bissig dar, wie die Politik DNA-Analysen oder Lauschangriffe durchsetzen, Reisebewegungen erfassen oder Hack Back (Zurückschlagen bei Hackerangriffen) realisieren will. Sein Fazit: "Die Sicherheit delegitimiert sich, zerstört sich selbst." Er warnt in einer Art Appell an das Auditorium vor der Erfahrung, "dass diejenigen, die bereit sind, wesentliche Freiheitsrechte gegen vermeintliche Sicherheit einzutauschen, weder Sicherheit noch Freiheit verdienen."

Im Follow-up, bei dem Schaar Publikumsfragen beantwortet, bringt er noch ein konkretes Beispiel für die Beobachtung, dass sich Sicherheitsversprechen selbst demontieren: So habe Wannacry Krankenhäuser nur hacken können, weil die Sicherheitsbehörden zuvor Sicherheitslücken eingebaut hätten. Der moderne Terrorist würde sich bevorzugt Anschlagsorte wählen, die videoüberwacht sind – wegen der abschreckenden Bilder. Und spätestens seit den Anschlägen am Berliner Breitscheidplatz wisse man, dass nicht etwa die Behörden zu wenig gewusst hätten, um die Katastrophe zu verhindern – sie wären vielmehr nicht klug gewesen und hätten auch nicht sinnvoll gehandelt.

 

Sebastian Jünemann
Hacking disaster
mit Krisenintervention den Kapitalismus hacken
(35 min.)

Sebastian Jünemann arbeitet für die NGO-Hilfsorganisation CADUS, die z. B. in Syrien medizinische Nothilfe leistet (Projekt Mobiles Krankenhaus). Er möchte im Rahmen seines Beitrages verdeutlichen, dass Gesundheit selbst im humanitären Bereich komplett durchorganisiert und durchkapitalisiert ist.

Der Beitrag ist deshalb ziemlich interessant, weil er genau das bestätigt, was auch der Sicherheits-Berater in regelmäßigen Abständen beschreibt: Hersteller von Sicherheitsprodukten betreiben Lobbyismus – und als Lobbyisten sitzen sie in den normgebenden Ausschüssen, die wiederum den Nutzer mehr oder weniger dazu verpflichten, nur noch die Produkte dieser Hersteller zu kaufen und zu nutzen. Jünemann beweist dies am Beispiel von medizintechnischen Geräten:

So benötige man im medizinischen Einsatz Geräte, die Luft pumpen können. Die Medizingeräteindustrie liefere High-tech-Geräte, die diese Aufgabe übernähmen und pro Stück 30.000 Euro kosteten. Luft pumpen könne man jedoch – vor allem im Notfall, z. B. im syrischen Bürgerkrieg – ebenso gut mit einer Fahrradluftpumpe für zwei Euro.

Von Jünemann ist zu erfahren, dass in Zahnarztpraxen alle elektrischen Geräte als medizinische Produkte gelten. Das trifft auch auf den Wasserkocher im Warteraum, mit dem Kaffee gekocht wird, zu und "muss dementsprechend, wahnsinnig teuer, alle zwei Jahre überprüft werden". Und jetzt ein Zitat, das, wie gesagt, auch vom Sicherheits-Berater stammen könnte: "So 'ne Geräte haben alle möglichen Prüfungen. Was die kosten, wollt Ihr Euch gar nicht vorstellen. Das Lustige ist: Diese Prüfungen festzulegen, welche gemacht werden müssen, wird von Gruppen geregelt, in denen die Hersteller mit drinsitzen. Das heißt der Marktzugang für Leute, die Medizinprodukte produzieren wollen, wird geregelt von denen, die schon Medizinprodukte produzieren."

Dann berichtet der Referent von einem von zwei Hochschulen unterstützten Projekt mit dem Namen remo2hbo. Das steht ungefähr für "Reparierbares einfaches Vitalparametermonitoring". Frei übersetzt: Es geht darum, auf Bausatzbasis ein extrem billiges Gerät zu konstruieren, mit dem sich feststellen lässt, ob ein Mensch noch lebt. Die Idee dahinter ist die, ein solches Gerät in Krisengebiete exportieren zu können. Jünemann ahnt, was auf ihn bzw. CADUS zukommt: Sobald die ersten bilateralen Abkommen zwischen Deutschland und einem Staat x zustande kämen, exportierten wir wahrscheinlich nicht nur unsere Geräte, sondern gleich auch unsere Bestimmungen für deren Einsatz. Anders ausgedrückt: Die medizinisch anspruchsvollen Regeln im hochindustrialisierten Deutschland würden auf Entwicklungsländer übertragen. Solche Befreiungsversuche, Rahmenbedingungen zu unterlaufen, die die Rettung von Menschenleben verhinderten, nennt Jünemann "Hacks". Er beschreibt noch zwei weitere interessante Hacks, mit denen CADUS versucht, Betroffenen von Katastrophen zu helfen, obwohl diese keine marktrelevanten Konsumenten sind. Dabei gehe es darum, mit Flugzeugen Bootsflüchtlinge aufzuspüren (obwohl AWACS viel besser geeignet wäre, aber nicht eingesetzt werden), mit Ballonen Gebiete zu entminen oder Lebensmittel über Katastrophengebieten abzuwerfen. Um technische Innovationen zu entwickeln, betreibe CADUS den "crisis response maker space", im Grunde eine Werkstatthalle für hilfsbereite Tüftler. Jünemann wirbt bei den Teilnehmern des 34c3 für eine Mitarbeit an diesem Projekt.

 

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)