LNP104 Sekundäre Darlegungslast

Urheberrechts-Urteile — Störerhaftung — Vorratsdatenspeicherung — Lawful Interception — Bundeswehr und Social Media — TrueCrypt

Nach einer Weile finden wir mal wieder direkt in der Metaebene zusammen und sammeln vor allem viel Juristisches der letzten Woche ein, wo es einige interessante Urteile auf Amts-, Bundes- und Europagerichtsebene bezüglich der Anwendbarkeit des Urheberrechts, der Störerhaftung gab. Dazu scheinen sowohl die EU als auch manche EU-Staaten zunehmend auf Distanz zur Vorratsdatenspeicherung zu gehen. Zuletzt rätseln wir über mögliche Pläne der Bundeswehr, soziale Netzwerke auszuwerten und über das merkwürdige Ende der Open-Source-Festplattenverschlüsselungs-Projekt TrueCrypt.

Dauer: 0:57:02

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Amazon Wishlist Icon Paypal Icon Bitcoin Icon

Prolog

EuGH: Websurfer durch Urheberrechtsausnahme geschützt

Amtsgericht Hannover: Stream-Gucken nur bei offensichtlich rechtswidriger Vorlage illegal

Begründung des Bundesgerichtshofsurteils zur Störerhaftung

EU-Kommission unternimmt keinen neuen Anlauf zur Vorratsdatenspeicherung

Vodafone veröffentlicht internationalen LI-Bericht

Bundeswehr will Twitter und Facebook auswerten

TrueCrypt WTF


In Zusammenhang mit dieser Ausgabe stehende Folgen

28 Gedanken zu “LNP104 Sekundäre Darlegungslast

  1. Frage eines Nix-Checkers: Warum zur Hölle sollten die True Crypt Leute gerade dazu anweisen, auf den BitLocker umzustellen, der als MS Software nun wirklich nicht sonderlich vertrauenserweckend ist? Das stinkt doch ziemlich… Ich hoffe ihr bleibt da dran, um zur Weltaufklärung beizutragen :)

      • Eine weitere Absurdität ist übrigens, dass in der Anleitung für Mac (http://truecrypt.sourceforge.net/OtherPlatforms.html) die Verschlüsselung auf “disabled” steht.

        Warum ich das Projekt nicht als “echte” Opensource zählen würde: a) Die Entwickler wollten, um Repressionen zu entgehen, von Anfang an anonym bleiben und es gab auch keine Community drumherum und b) es gab auch nie ein öffentliches Repo, wo man die Entwicklung hätte genauer nachvollziehen können (immer nur snapshots des jeweiligen Releases).

    • Dessen Passwort sich dann aber wohl auf einem Zettel bei ihm fand. Wenn damit wirklich hochkritische Informationen hätten entschlüsselt werden können, mag die Aktion mit der Laptopzerstörung vielleicht verständlicher werden, auch wenn sie natürlich weiterhin wie ein überflüssiger Tropfen auf ein bereits entfachtes Feuer wirkt. Des Laptops mitsamt dem Passwortzettel hätten ja schließlich auch andere Leute habhaft werden können. Dazu bedarf es ja keiner Sicherheitsbeamten, die mal freundlich zum Gespräch bitten.

      • Meinem Verständnis nach war das Passwort, was Miranda bei sich hatte, nicht geeignet die Daten vollständig zu entschlüsseln. So jedenfalls der Zeugenaussage einer Scotland Yard-Mitarbeiterin zu entnehmen, wobei zumindestens die Wiedergabe ihrer Aussage in den Medien mehr Fragen aufgeworfen als beantwortet hat.

  2. Im Security-Now!-Podcast von letzter Woche (http://twit.tv/show/security-now/458), den man sich anhören kann, wenn einen die unsägliche Produktwerbung darin nicht stört, argumentiert Steve Gibson durchaus plausibel, dass die Entwickler vielleicht wirklich einfach keine Lust mehr auf die weitere Pflege von Truecrypt haben. Die Entwicklung begann womöglich zu Studienzeiten, während die Entwickler mittlerweile längst “richtige” Jobs haben. Seit der letzten Version 7.1a vom Februar 2012 gab es anscheinend keine Weiterentwicklung, doch inzwischen ist Windows 8 erschienen, das nun Secure Boot verwendet, das Truecrypt nicht unterstützt, während der Herstellersupport für Windows XP unlängst endgültig eingestellt wurde, von einigen Spezialfällen mal abgesehen. GPT-Partitionen unterstützt TrueCrypt wohl auch noch nicht, was jedoch notwendig wäre, um größere Festplatten (über zwei Terabyte) uneingeschränkt zu verwenden. Die Implementierung schreibt sich letztlich nicht von allein. Und wenn sich die Entwickler nun kritisch zu einem Fork äußern, könnte das auch daran liegen, dass sie nicht wollen, dass der Code irgendwann so aussieht wie der von OpenSSL. Ein Transkript der Episode gibt es auch: https://www.grc.com/sn/sn-458.htm

    P.S.: In einer anderen Konfiguration war es nicht möglich, hier zu kommentieren, da eine Seite kam, auf der man ein Captcha von http://logbuch-netzpolitik.de/wp-admin/admin-ajax.php lösen sollte, das gar nicht angezeigt wurde. Neben dem Verzicht auf ein fehleranfälliges Bildcaptcha (ein semantisches Captcha mit einer Textfrage, beispielsweise, welcher Podcaster die Sendung präsentiert, wäre deutlich besser) würde es zur Lösung des Problems wahrscheinlich schon genügen, nicht “ajax.” in der Bild-URL zu haben, da dies normalerweise auf JavaScript-Müll hindeutet und entsprechend geblockt wird.

  3. Hi ihr zweit!
    Wie immer super Nachrichten! Gab’s direkt nen Flatter für ;)

    Wegen der TrueCrypt-Affäre:
    Ist es nicht viel Plausibler, das die Fraktion welche Druck auf TrueCrypt ausgeübt hat, es begrüßt, das bisherige TrueCrypt Nutzer auf BitLocker wechseln, da hier ja nachgewiesener maßen BackDoors implementiert sind? Damit kann man sich den Aufwand, TrueCrypt zu knacken sparen. Die Anleitung auf BitLocker zu wechseln und diese unspezifische Ansage “TrueCrypt ist unsicher” deuten da mMn. doch stark darauf hin. Ich würde dh. ggf. sogar davon ausgehen das der letzte “echte” Release von TrueCrypt aktuell noch nicht gefallen ist…

    Im Zweifelsfall geht hier der Entwickler von TrueCrypt den Weg des geringsten Wiederstandes und tut so wie ihm geheißen.

      • Okay sorry, das war etwas übereifrig…

        Gemeint war: Es ist bekannt das MS Backdoors in eigener Software (mm. Bitlocker) implementiert.

        Ich denke das BitLocker nur bedingt sicher ist, davon kann man soweit erstmal ausgehen…

        vg,

        • Ich möchte hier nicht als Microsoft-Verteidiger rüberkommen, aber auch diese abgeschwächte Version wäre mir neu. Es mag angesichts der Gesetzeslage in den USA plausibel sein, dass in deren Software Backdoors für Geheimdienste und Strafverfolger implementiert sind, aber ist das wirklich jemals nachgewiesen worden?

  4. Auf http://truecrypt.sourceforge.net/ heißt es ja nicht, dass TrueCrypt unsicher ist, sondern “Using TrueCrypt is not secure” und dann als Begründung “as it may contain unfixed security issues”.
    Das passt doch schon zur Nullhypothese, also dass die Entwickler einfach keine Lust mehr haben und nicht mehr weiter an TrueCrypt arbeiten wollen. D.h. sie kennen zwar momentan keine konkrete Sicherheitslücke, aber da sie in Zukunft keine Bugs fixen werden, raten sie davon ab, es weiter zu verwenden.
    Seltsam ist dann nur, warum sie das Projekt nicht anderen übergeben.

  5. den für mich entscheidenden vorteil von TC habt ihr nur etwas indirekt angesprochen: TC gab es portables programm für alle 3 wichtigen OS, so war der austausch von volumes sehr bequem.
    mir ist leider kein anderes programm bekannt, das das bietet.
    tips erwünscht!

  6. Hi,

    ich würde mich gerne an den Spekulationen bzgl. Truecrypt beteiligen.

    Meine These wäre folgende:

    Nach den Enthüllungen Snowdens reißen die Diskussionen und Veröffentlichungen nicht ab, das Thema “Total-Überwachung” bleibt aktuell. Eine der Folgen davon ist, dass sich mehr Menschen als bisher für Datensicherheit und Verschlüsselung interessieren. Truecrypt ist eines der wenigen Verschlüsselungsprogramme, das (quasi-) OpenSource und relativ sicher ist, jedenfalls ohne eine “eingepflegte” backdoor.

    Variante a)
    Genau aus diesem Grund wurde den Entwicklern von TC “nahegelegt” entweder eine backdoor einzubauen oder sonstwie mit der NSA & Co. zusammenzuarbeiten, was für die Entwickler nicht in Frage kam. Gleichzeiteiges Verbot unter Androhungen schwerster Strafen/Druck/Erpressung über den “Eingriff” der NSA oder NSA-nahen Behörden in der Öffentlichkeit zu berichten.

    So sagen die Entwickler einfach “wir haben keinen Bock mehr”, mehr können sie nicht machen.

    Variante b)
    Die Entwickler wurden gezwungen, die Meldung “Truercypt ist unsicher” zu verbreiten, damit die Leute aufhören Truecrypt zu benutzen und auf Payware mit Backdoors umsteigen, weil es die NSA anpisst, das TC vermehrt genutzt wird.

    Eine Frage dazu: wie sieht es mit dem Fork Realcrypt aus, die Linux-Version von Truecrypt? Wird es sie weiterhin geben?

    http://rpmfusion.org/Package/realcrypt

    Vielleicht kann man mit wenig Aufwand die Sourcen von Realcrypt unter Windows compilieren, so dass die User von Windows Vista/7/8 weiterhin ein schönes Verschlüsselungsprogramm haben?

    Ich selber nutze auf meinem Linux-Rechner einen Mix aus dm-crypt und Realcrypt.

    Mein Vertrauen in TC bzw. RC ist durch die rote Meldung auf der TC-Seite bislang kaum erschüttert. Ich vermute eher einen hilflosen Versuch von Geheimdiensten, die Leute von der Nutzung TC’s abzuhalten.

    Wie gesagt, Spekulationen. Ich hoffe wir wissen bald mehr.

  7. Hi! Ubuntu verschlüsselt lediglich das Homeverzeichnis, nicht etwa die Platte oder die Partition, zumindest mit den bei der Installation angebotenen Standardvorgaben. *keep that in mind*

    regards

    gorgon

    • Hab erst kürzlich eine 12.04-VM aufgesetzt, also sogar eine veraltete Version, und FDE war eine Option im normalen Installer.

      Allerdings nicht default, das stimmt.
      Wer sich jetzt fragt, was man selbst hat: bei FDE werdet ihr direkt nach dem Anschalten, vor dem eigentlichen Boot nach einer Passphrase gefragt.

  8. Hi! Ubuntu verschlüsselt lediglich das Homeverzeichnis, nicht etwa die Platte oder die Partition, zumindest mit den bei der Installation angebotenen Standardvorgaben. *keep that in mind*

    regards

    Jim Britlove

  9. bezüglich der Störerhaftung:
    Die war nie speziell für den Internetzugang ausgelegt. Allgemein sagt diese nur, dass wer eine Gefahrenquelle in die Welt setzt. Alles zumutbare zu tun hat, um mögliche gefahren einzudämmen. Wer das nicht tut ist im Schadensfalle haftbar. Wenn du ein Loch buddelst musst du eine Absperrung machen, sonst bist du mit schuld, wenn jemand rein fällt. Das auf den Netzzugang anzuwenden war immer ein war eigentlich immer eine gewisse Verbiegung. Die Gerichte haben da soweit ich weiß sich nie dazu geäußert, ob der Internetzugang per se als Gefahrenquelle einzuschätzen ist, sondern nur darüber, ob Absicherungsmaßnahmen zumutbar gewesen wären. Wenn du absichtsfoll deinen Netzzugang anderen zur Verfügung stells greift die Argumentation eigentlich eh nicht. Der Fall wurde aber wohl nie verhandelt. Das Aktuelle Urteil, kann zwar dahingehend interpretiert werden, dass der Oberste Gerichtshof mit der Rechtsprechung die manche Gerichte da an den Tag gelegt haben nicht so recht einverstanden ist. Das ist jedoch Spekulation. Streng genommen hat er keine Aussage über die Mitstörerhaftung gemacht sondern nur eine über die Beweislast bei der Primärhaftung.

  10. Gute Sendung, aber bei der TrueCrypt Sache hätte ich mir etwas mehr “Einlesen” gewünscht.

    Ein Streich ist IMO eher unwahrscheinlich, weil die neue TC Version ja mit dem original Key gesigned wurde. Also wenn das ein Hack war, dann aber so übel, dass der Hacker (wie auch immer) sogar an den privaten Schlüssel kam. Das hätte dann auch zur Folge, dass die TC-Leute eh direkt aufgeben können, weil sie durch ihre Unbekanntheit nie wieder einen vertrauenswürdigen Key ausgeben können. Kann sich ja jeder als die ausgeben.

    Es gibt zwei weitere Verschwörungstheorien. Eine Schöne und eine weniger Schöne:

    Die Schlechte: Es findet sich die Formulierung “not secure as”, was manche als Hinweis für NSA sehen.

    Die Bessere: Im Code wurde die Sprache immer als “English (U.S.)” angegeben. In der nun angebotenen Version steht dort nun “English (United States). Eine solche Änderung ist ziemlich Sinnlos, es sei denn man will einen kleinen Hinweis geben.

    Alles in Allem denke ich, dass die dilettantische Aufmachung der neuen Seite und die vielen kleinen Absurditäten und Fehlerchen volle Absicht sind und den Zweck haben erst beim zweiten Hingucken aufzufallen, um dann in der Summe als einigermaßen deutliches Zeichen erkennbar zu sein.
    Ein Zeichen, dass sie nicht offen reden können und dass irgendetwas passiert ist.

    • Deiner Schlussfolgerung schließe ich mich an, aber die beiden Hinweise, die du da anführst gehören aber mal eher so in den Bereich des Lächerlichen.

      Ein Blick auf die Seite genügt, da muss man ja nicht auch noch anführen, dass sie Quersumme der Anzahl der Buchstaben im ersten und zweiten Satz 23 ist.

      • Haha, ja natürlich. Ich wollte die auch nur der “Vollständigkeit” halber anführen. Es gibt ja mittlerweile eine ganze Reihe an Theorien. Was ich persönlich glaube steht am Ende.

        Ehrlich gesagt denke ich, dass sich das vorerst nicht auflösen wird. Vielleicht irgendwann in 50 Jahren, wenn irgendwelche Dokumente freigegeben werden, oder ehemalige Angestellte von Geheimdienst XY anfangen zu plaudern, weil sie eh nichts mehr zu verlieren haben.

        Die Sache ist imo klar: TrueCrypt weiterhin zu benutzen ist eine tickende Zeitbombe, weil irgendwann findet irgendwer auf jeden Fall einen fiesen Bug und wenn das nicht mehr gefixt wird… Anstelle sich auf “oldversion.com” die alten Binaries zu ziehen, sollten lieber Forks gemacht, oder etwas Neues auf die Beine gestellt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *