Feedback — BGH zu Netzsperren — Streit um Teledienste — Youtuber klagt zurück — NSA-Untersuchungsausschuss — Tor
Mit den Netzsperren ist diese Woche auch noch der letzte Zombie aus dem netzpolitischen Verlies geholt worden und wäre der oppositionelle Furor im NSA-UA gerade nicht so unterhaltsam hätte das uns wohl komplett die Laune versaut. So bleiben wir gut gelaunt und erörtern mit wenig juristischem Fachwissen die möglichen Konsequenzen diverser Gerichte und angedrohten Klagen.
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Verwandte Episoden
Shownotes
Prolog
Feedback: ISIS und Social Media
Feedback: Tracking
Feedback: Thomas de Maizière und Frank Rieger auf dem IT-Gipfel
- Tweet von SteffenCybert
- Kommentar von pingpong
- Nationaler IT-Gipfel 2015: Podiumsdiskussion des Forum IV
BGH-Urteil zu Netzsperren
- iRights: Bundesgerichtshof: Ja, aber Nein zu Websperren
- Bundesgerichtshof zur Haftung von Access-Providern für Urheberrechtsverletzungen Dritter – Urteile vom 26. November 2015 – I ZR 3/14 und I ZR 174/14
- LNP097 Garantiert nippelfrei
Gericht: Google muss GMail als Telekommunikations-Dienst anmelden
- Wikipedia: Telemedien
- heise online: Gericht: Google muss GMail als Telekommunikations-Dienst anmelden
Crowdfunding-Kampagne: Abgemahnter Youtuber will Bild.de verklagen
- Spendenseite: Tobys_Tricks gegen Bild.de
- Aufrufvideo: Bild gegen Tobis_Tricks – Die Offensive
NSAUA
- heise online: BND-Skandal: Opposition fordert Untersuchungsausschuss zu BND-Selektoren
- netzpolitik.org: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: J. S. und Alois Nöbauer
- heise.de: NSA-Ausschuss: Schweigsamer Chef der BND-Außenstelle Gablingen bringt Abgeordnete zur Weißglut
Tor Donation
- Donate to keep Tor alive
- CCCamp15: What’s the catch? Funding open source with money from corporations and governments
Nach all der Schelte an VDS und Geheimdiensten und Email made in Germany, wie wäre es denn mal damit das Logbuch Netzpolitik über TLS verschlüsselt abrufen zu können mit DNSSEC und Dane zum prüfen des Zertifikats? Bewerbt euch doch mal für die Lets Encrypt Beta.
Ist alles on track, hängt aber leider nicht nur von Let’s Encrypt ab, bevor das umgesetzt werden kann.
So aus Interesse: wie viel Aufwand ist es denn, TLS einzurichten? Stunden, Tage, Monate?
In Tims Fall Tage und das Risiko, viele Abonnenten zu verlieren, weil die Clients nicht mitspielen.
Dank des IT-Sicherheitsgesetzes müsst Ihr neuerdings TLS einsetzen, solange Menschen ihre personenbezogenen Daten (Name + E-Mail-Adresse) hier eingeben können. Ihr solltet Euch somit auch auf ein Bußgeld-Risiko einstellen.
https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/
Öh..
1. Schreib halt nicht deine richtige Email rein, nimm stattdessen ein Mailinator oder eine ungültige.
2. Im Zweifelsfall macht der Webseitenbetreiber bei den ganzen WordPress Dingern einfach das Email-Feld value=“blabla@some.value“, display:none und die Sache ist gegessen weil es dann definitiv kein „Kontakt-Formular“ mehr ist
3. Ich behaupte diese Kommentarspalten wie hier sind sowieso keine Kontaktformulare im Sinne deines Links, aber bin nicht sicher
4. Ja, das ganze Web gehört heutzutage einfach mit TLS verschlüsselt, ABER dass wir hier hören und posten sieht man so oder so.. ausser du benutzt Tor, aber dann kannst du wirklich einfach (1.)
Ah doch, sorry, ich nehm 3. zurück…
Moin Linus,
danke für das Erklären, wozu man Google Fonts braucht. Ich habe das nie verstanden und binde einfach immer die Fonts, die ich verwende selbst in die CSS ein. Das sind 6 Zeilen Quelltext. Aber, wenn da natürlich Deals dran hängen und Google dann auch nur die entsprechende Formatierung für den entsprechenden Browser ausgibt, ist das natürlich für den Standardisier einfacher.
Was habe ich schon geflucht, wenn ich mal wieder einen Tippfehler in den Verlinkungen für WOFF-Dateien hatte.
Bei diesen Google-Einbindungen frag ich mich immer, kann man das nciht einfach lokal alles umleiten? Also was ich suche, wäre ein Plugin das folgendes macht
Wenn eine Website die Google Fonts einbinden will: Das Plugin erledigt diese Erkennung und richtige Einbindung einfach selbst (wenn die Fonts selbst eigentlich auf dem aufgerufenen Server liegen?!)
Wenn eine Website das jquery von google einbinden will: Einfach eine lokale jquery datei benutzen
Wenn eine Website google maps einbinden will: Openstreetmap mit den gleichen Koordinaten aufrufen
Youtube Videos einbinden: tjaaa, da such ich immer noch ne Lösung :)
Analytics einbinden: einfach blocken :)
Mal zu diesem: Gema etc. müssten erst noch ne Detektei beauftrag etc, Ich denke mir, im Endeffekt würde das so laufen wie mit dem Richtervorbehalt bei TKÜ etc. (siehe Posteo https://posteo.de/site/transparenzbericht_2014). Die Richter-innen werden keinen Bock und vor allem keine Zeit haben das genügend zu prüfen und dann einfach durchwinken. Dann hat man quasi sowas wie eine automatische Sperrfunktion.
Ja, das fürchte ich auch.
Ihr vergesst das Koordinieren. Bitsäckeschleppen koordinieren!
Wenn die Gema am Ende Websperren einrichten lassen darf, wie sehen die denn dann aus? Bei der Zensursula-Sperre wäre man ja auf ne Seite „umgeleitet“ worden, die einem mit digitalem Zeigefinger mitteilt, was für ein schlimmer Finger man doch ist. Aber wo wird man hingeleitet, wenn man Urheberrechte mit einem Goldesel verletzen wollte? Das Musikangebot von Amazon? Spotify? Meistbietender Kooperationspartner?
Apropos Cyberkoperation:
Da unsere Demokratie doch offensichtlich schon im Überwachungsstaat angekommen ist, besteht diese Krise doch schon. Der werte Herr Innenminister mußte nicht mal zu Telefon greifen. Etliche CCC Mitglieder engagieren sich schon ehrenamtlich und geben z.B. Hilfestellung, um sich besagter Überwachung zu entziehen. Andere wiederum wirken in Maßnahmen der Öfflichkeitsarbeit darauf hin die Lage wieder zu verbessern. Danke dafür ;-)
Wer an die Gemeinschaftsverpflichtung zum digitalen Sandsäckeschleppen appelliert, muss auch Rechtfertigung für 500.000.000 Euro für Hubschrauberfehleinkäufe leisten.
Thilo Jung hat gerade eine bemerkenswert offene Diskussion zwischen Maaßen und Hans-Georg Maaßen und Hans Leyendecker zugänglich gemacht. Maaßen geht dabei ziemlich unter. Am Ende stellt er sich auf den Punkt, dass die Kontrolldefizite, die er nicht abstreitet, nicht dem Kontrollierten anzulasten sind: „Informationen zu bekommen, ist nicht unbedingt die Bringschuld des Kontrollierten, sondern die Holschuld des Kontrolleurs.“ (https://www.youtube.com/watch?v=c9XJMn8tUmk&t=58m22s) Wenn man sich ansieht, welche Rolle insbesondere das Kanzleramt spielt, ist das zwar zum Teil richtig; andererseits ist in Bezug auf Geheimdienste schon eine geradezu aberwitzige Argumentation. Immerhin zeigt sie sehr schön des Selbstverständnis dieser Leute.
Das mit dem Googlemail ist aus meiner Sicht Lobbyarbeit. Google ist halt der Gegner von GMX und co. und die haben eben jetzt mal gute Lobbyarbeit gemacht und etwas in die Köpfe der Politiker gebracht mit dem man Google als Konkurrent loswerden könnte.
Generell die Überwachungsstandards für Kommunikationsanbieter loszuwerden will man nicht weil dann wäre man wieder auf gleicher Augenhöhe wie Google und die würden dann wohl mehr Kunden gewinnen.
Außerdem: Wie sieht es mit sowas wie Facebook aus? Klar die haben Sprachkommunikation aber auch Text. Muss ein IRC Anbieter Überwachungsschnittstellen einbauen?
Das läuft gerade in eine ziemlich falsche Richtung, aber eben in die Richtung der „Daten sind der Rohstoff der Zukunft“. Das hat zwei Seiten, man will die Daten der Kunden, aber man will auch seine eigenen Daten, also die Inhalte mit denen man die Kunden bekommt möglichst restriktiv weitergeben. Aus Sicht der Konsumenten ist beides schlecht.
Vielen Dank und weiter so!
Wenn das das Ergebnis der Lobbyarbeit von GMX ist, dann sollten sie mal schnell ihre Lobbyisten austauschen, denn diese Regelung wird dann auch vor GMX nicht halt machen,.
Also wenn ich das richtig sehe erfüllt GMX diese Regelung schon. In Deutschland muss doch jeder Mailserver der über eine bestimmte Anzahl an Accounts hat Daten an die Dienste rausrücken. Sprich GMX hat da jetzt keine weiteren Nachteile, will aber dass Google diese ebenfalls hat.
Ich habe jedoch keine wirkliche Ahnung^^
Du sprichst da von der Sina Box, dazu Posteo: https://posteo.de/blog/posteo-zur-m%C3%A4r-von-der-abh%C3%B6r-schnittstelle
Ich frag mich da immer, wenn das von Posteo stimmt, wie sich dieses Gerücht so hartnäckig halten kann?
Ok, das war mir jetzt neu, vielen Dank!
In einer Freakshow ging es mal darum einen Mailserver für den erweiterten Freundeskreis zu machen und da wurde eben das mit dem Abhören ab einer bestimmten Accountzahl genannt. Ich vermutete also dass diese ganzen deutschen Anbieter das auch machen und jetzt wollen dass Google und co. auch diesen Nachteil haben.
Ihr sprecht ständig(TM) über Like-Buttons, Google Fonts,etc und darüber, welche Infos Facebook und Google darüber von den Usern abgrasen können. Ich persönlich denke, dass Google Analytics noch um einiges weiter verbreitet ist und Google noch einiges mehr an Insights gibt (dank JS gibt es noch detailliertere Infos)
Wie sieht denn die Erfolgsbilanz des CCC aus? Könnte es sein, dass sich de Maizière nur deshalb so milde gegenüber dem CCC äußert, weil er genau weiß, wie wenig Einfluss der CCC am Ende des Tages tatsächlich hat?
Seien wir doch ehrlich:
Vorratsdatenspeicherung: Kampf verloren.
Netzneutralität: Kampf verloren.
Netzsperren: Kampf verloren.
Überwachungsstaat: Kampf verloren.
Datenschutz und Grundrechte: Kampf verloren.
Verschlüsselung: Schwere Verwundungen.
Staatstrojaner: Niederlage vorprogrammiert. Entweder stirbt Verschlüsselung oder die Trojaner kommen.
Anonymität im Internet (z.B. Tor): Schwere Verwundungen.
Anonymität im Alltag (z.B. Bargeld): Schwere Verwundungen.
Die Titel „größte Hackerorganisation Europas“ und „größter Hackerkongress Europas“ helfen letztlich auch nicht, die Welt zu retten. Wir haben verloren. Die Gegenseite weiß das und lässt uns spielen.
Nachtrag zu LNP160:
Ich finde die Initiative der DT zu S/MIME total naheliegend. Sicherheit durch Verschlüsselung und trotz Verschlüsselung. So kann ich E-Mail Dienste mit Verschlüsselung flächendeckend verbreiten, kann behaupten Deutschland sei Verschlüsselungsweltmeister und gleichzeitig verhindern, dass die Leute alle PGP machen, und morgen sorge ich dafür, dass die private keys in der cloud gespeichert werden (weil is user-friendly) und CAs private key backups machen müssen, usw.
wo steht denn, dass die in der cloud gespeichert werden?
@ Linus und Tim:
1.) Das FBI gehört nicht zum „Innenmisterium“ = U.S. Department of Homeland Security (DHS), sondern zum U.S. Department of Justice (DoJ) = Justizministerium.
2.) Zum Thema Tor-Funding:
Tor hat schon immer um Spenden gebeten. Eigentlich kann man nicht davon sprechen, dass jetzt eine „Crowdfunding-Kampagne“ gestartet wurde. Einen Link auf die Spendenseite zu setzen und über Twitter zu verteilen, ist keine „Crowdfunding-Kampagne“.
Übrigens wurde die Spendenmöglichkeit über die Wau Holland Stiftung von der Tor-Website entfernt. Roger Dingledine hat in den Kommentaren des Blog-Beitrags angemerkt, dass die Wau Holland Stiftung die eingesammelten Spenden nie an Tor weitergeleitet hat, sondern für eigene Tor-bezogene Dinge genutzt hat. Ist das schon Betrug?
https://blog.torproject.org/blog/what-tor-supporter-looks-laura-poitras#comments
Das Gmail-Thema bzw. die Auswirkungen sind meiner Meinung nach etwas untergegangen. Das Urteil hat zur Folge, dass eigentlich jeder Dienst im Internet (Over The Top Service) ein Telekommunikationsdienst im Sinne des TKG wird.
Das TKG hat ja eigentlich eine sehr technische Definition, nämlich ein Dienst zur Übertragung von Signalen über Netze (inklsive. Vermittlungs/Routingfunktionen). Ein Netz ist die Technik und alle Funktionen, die zwischen Netzabschlusspunkten ablaufen. Ein TK-Dienst ist also auf OSI-Layer 3 beschränkt. Alles darüber (OTT) ist Telemediendienst.
Das Gericht hat das jetzt quasi weggebügelt. In der Urteilsbegründung heißt es:
„Der Umstand, dass bei Gmail die Signalübertragung nicht durch die Klägerin selbst, sondern durch die beteiligten Internet-Provider erfolgt bzw. über das offene Internet stattfindet, ist für die Eindordnung des Dienstes nicht entscheidende, da der gesamte Kommunikationsvorgang einheitlich betrachtet werden muss und die einzelnen Prozessschritte daher nicht getrennt bewertet werden können.“
Das wird dann weiter ausgeführt und man kommt zum Schluss, dass jemand, der irgendeinen Service anbietet, der als wesentlichen Bestandteil, eine „raumübergreifende Kommunikation/Signalübertragung“ aufweist, ein TK-Dienst ist. Und welcher OTT-Dienst hat das nicht? ;-)
Die bisherige klare technsiche Definition wird verworfen und jetzt bleibt als einziges Unterscheidungsmerkmal das „überwiegend“ aus der Dienstedefinition des TKG über.
Das wird dann fallweise entschieden ohne irgendeine logische Begründung. Zukünftig wird es dann wohl eine dynamisch anzupassende White List geben, die die OTT-Dienste dem TKG zuordnet oder nicht. Wahrscheinlich je nach Bedarf (a.k.a. Willkür).
Btw. die Urteilsbegründung ist sehr lustig. Zeigt sie doch, dass nicht im Ansatz verstanden wurde, wie Kommunikation in IP/Internet funktioniert.
Das wird noch spannend.
Zum Tracking:
So wirklich gut eigenen sich die Fonts oder auch die JS/CSS-Frameworks von den CDNS (Google, Microsoft, cdnjs) nicht: Die Geschichten werden ja gut gecached. Dadurch ist die Granurität sicherlich sehr grob. Wie grob mag ich nicht einschätzen: Eine der Ideen dieser CDNs ist ja auch, dass man nur überhaupt nur einmal z.B. JQuery lädt, egal auf welcher aufgerufenen Website es verwendet wird. Angesichts der Vielfalt an Frameworks, Versionen und CDNs kann es natürlich sein, dass man die doch wieder pro Site lädt. Aber sicherlich nicht Feingranularer.
Wobei man nicht vergessen darf, dass es auch um fingerprinting gehen kann. Keine Ahnung, ob das in diesen Fällen zutrifft, aber grundsätzlich wenn man Browser unterschiedlich technisch anspricht, kann man systemspezifische Marker sammeln. Ich würde vermuten, dass gerade die Kombination unterschiedlicher Googledienste sich gut zu cookie-löschungsfestem Tracking kombinieren lassen. (Etwas was Facebook so nicht nötig hat, da viele seiner Nutzer eingeloggt sind.)
Wie heißt es so schön: Every bit helps. ;)
Sagt doch mal was zu http://staatsschutz.at , danke
@ Linus und Tim
Habt Ihr drüben bei netzpolitik.org schon das Neueste gelesen?
https://netzpolitik.org/2015/eu-setzt-umgehen-von-verschluesselung-wieder-auf-die-tagesordnung/
Wenn man sich dann noch Kommentare wie den folgend Verlinkten anschaut, dann möchte man am liebsten alles hinschmeißen. Diese Person hat mal aufgelistet, welche Tools die Behörden als Kriminellenwerkzeug ansehen. Tor und Tails sind natürlich dabei. Und Verschlüsselung generell. Aber sogar jedes Live-Linux und so Sachen wie shred und wipe. Ist Euch auch schlecht? Wollt Ihr auch alles hinschmeißen? Ich kann nicht mehr…
https://netzpolitik.org/2015/eu-setzt-umgehen-von-verschluesselung-wieder-auf-die-tagesordnung/#comment-1993067
Bezüglich Tracking durch Google habt ihr einen Punkt ausgelassen (oder ich habe den überhört): Google DNS.
Dominik Herrmann () forscht zu dem Thema und hat auf seiner Seite einige Veröffentlichungen. Unter findet sich Vortragsfolien, die das Thema kurz erklären.
Die URLs fehlten:
https://www.inf.uni-hamburg.de/inst/ab/svs/team/herrmann.html und
http://dhgo.to/dns-dagstuhl
Zum Thema Analyse-Fehigkeit von Google: Wird diese in Zukunft mit der Verbreitung von AngularJS nicht sogar massiv zunehmen? Dann ist sie nicht nur via Analytics aufgesetzt und kann blockiert werden, sondern ist in WebApps integriert.
Die Sache mit den TSA Schlüsseln in deiner, Linus, 32c3 Übersicht hat mir eine wunderbare Analogie zu der derzeitigen Cryptodebatte geliefert, es wundert mich, dass die noch niemand aufgegriffen hat? So kann man doch gerade Leuten die nicht in der Materie sind, das Problem wunderbar erläutern.
Grob gesagt so erklärbar:
„Es gibt extra Kofferschlösser, die man nicht nur mit deinem eigenen Schlüssel sondern auch einem speziellen Sicherheitsschlüssel aufmachen kann (TSA). Diese sind nur im Besitz der Flughafensecurity, damit diese deinen Koffer zur Überprüfung öffnen kann. Denkste dir, is ne sichere Sache, ich hab nen Schlüssel und die Leute die halt Staat sind und auch Zugriff haben sollten, im Notfall halt. Schliesslich hab ich nichts zu verbergen.
Jetzt sind aber dummerweise durch ein Versehen, nicht mal einen wirklichen Hack, die 3D Modelle dieser Schlüssel bekannt geworden (http://www.heise.de/make/meldung/Hack-mit-3D-Drucker-TSA-Generalschluessel-fuer-Gepaeck-2810177.html). Und nun kann sich jede-r mit einem entsprechendem günstigen Drucker genau diese Sicherheitsschlüssel nachbauen. Das heißt also, nicht nur du und der Staat haben einen Schlüssel für deinen Koffer, sondern auch „Kriminelle“ die nur ein wenig gewieft sein müssen. Durch die Tatsache, dass die Schlösser überhaupt erst so gestaltet sind, dass es einen allgemein passenden Schlüssel gibt, sind sie nun allesamt angreifbar/leicht zu öffnen.
Stellen wir uns jetzt mal unsere Pakete vor, die wir durchs Internet schicken und abschließen damit sie nicht von anderen Leuten gelesen werden können (Verschlüsselung). Der Staat will wegen Terrorismus|Kriminalität|Überwachung|kannjawohlnichseindasswirdanichreinguckendürfen diese Pakete mit Schlössern abschliessen, zu denen er jeweils einen Zweitschlüssel hat.
Na? Was denkst du wird irgendwann passieren?“
Sehr gut! Danke!
Das kann man über Weihnachten schön fein der Verwandschaft unter die Nase reiben.