LNP275 Früher war auch scheiße

Vivy — 35C3 — Hessenwahl — Atompläne — Netzidentität — Bahnhof vs. Elesevier — AfD — Acosta — All Creatures Welcome — Termine

Wieder mal eine kompakte Zwei-Stunden-Zusammenfassung des täglichen Wahnsinns. Hier und da haben wir auch gute Nachrichten versteckt, aber wir stellen auch fest, dass aus der Zukunft auch noch was werden könnte. Wir werden sehen.

Dauer: 1:56:26

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

35C3: Refreshing Memories

Maaßen

Vivy versucht, Berichterstattung zu “korrigieren”

Hessenwahl-Panne

Atompläne

Der Kampf um die Netzidentität

Bahnhof vs. Elsevier

AFD lässt sich ihre Verfassungsfeindlichkeit bescheinigen

Der Fall Acosta

All Creatures Welcome

Termine

coderetreat

Cryptoparty Stuttgart

Linus Vortrag an Uni Heidelberg

Glühweinprogrammiernacht

unheimlichsicher

Tag der Rechtspolitik 2018

25 Gedanken zu „LNP275 Früher war auch scheiße

  1. Vielen Dank, dass Ihr das Thema Vivy und die Datensicherheit so ausführlich und verständlich aufbereitet. Umso erstaunlicher ist es, dass die Anbieterseite von all diesen Lösungen, Anwaltspostfach, Telematik in der Medizin, …, nichts dazu lernen, sondern einfach weiter machen.
    Das Verhalten der Vivy-Betreiber auf eine gemeldete Sicherheitslücke empfinde ich als unverantwortlich. Zum einen wird so kein Vertrauen erzeugt, zum anderen werden die Entdecker von Sicherheitslücken so ermutigt, diese nicht mehr dem Betreiber zu melden, sondern diese demnächst ohne Vorwarnung zu veröffentlichen.
    Auch kann ich mir nicht vorstellen, dass die Vivy-App in meinem ärztlichen Alltag eine Rolle spielen wird. Ich werde jedenfalls nichts dort hochladen, werde solange es geht, mich weigern, an der Telematik der gesetzlichen Krankenkassen teilzunehmen.
    Im Deutschen Ärzteblatt findet sich eine Zusammenfassung eines SFB der TU Darmstadt, dass gegenwärtig eine dauerhafte sichere Speicherung von Gesundheitsdaten nicht möglich ist:

    https://www.aerzteblatt.de/nachrichten/99034/Langfristige-sichere-Speicherung-von-Gesundheitsdaten-laut-IT-Experten-im-Augenblick-nicht-gewaehrleistet

    In der Arztpraxis vor Ort gibt es noch andere Probleme, da viele IT-Techniker nicht immer kompetent sind. Bei mir war ein Techniker mit 120-Euro-Stundenlohn damit überfordert, ein Umzug von Outlook 2016 von einem Windows 7 auf einen neuen Rechner mit Windows 10 durchzuführen, obwohl diese Aufgabe ihm zuvor bekannt war. Da wage ich an kompliziertere Netzwerkprobleme gar nicht zu denken.

  2. Naja, bin auch kein Architekt oder Knastbereiber aber ich finde das Konzept der security through obscurity ist auch dabei mehr als schwach. In der Wikipedia steht dazu sehr trefflich formuliert : „Der Ausspruch des Informationstheoretikers Claude Shannon The enemy knows the system („Der Feind kennt das System“) ist ein Ansatzpunkt, von dem heute bei der Erstellung von Sicherheitskonzepten ausgegangen werden sollte. Sicherheit, die ausschließlich auf der Geheimhaltung oder Verschleierung von Verfahren beruht, hat sich oft als ungenügend herausgestellt.“ https://de.wikipedia.org/wiki/Security_through_obscurity

  3. Bezüglich der Frage Identität vs. Berechtigung denke ich, dass Linus weitestgehend recht hat.

    In 99% der Fälle willst du eigentlich nur eine oder mehrere Berechtigungsprüfung, keine allgemeine Identitätsprüfung.
    Gerade was Accounts angeht, geht es ja bereits jetzt die ganze Zeit ohne; Accountname + Passwort ist ja letztlich nichts anderes als eine Berechtigungsprüfung – und ein Passwortmanager ist quasi mein Wallet, das meine Berechtigungen speichert und zur Verfügung stellt.
    Jetzt kann man diskutieren, ob man nicht von dem Passwortansatz weg will und das lieber über eine Public-Key Browser-API machen will oder so, aber dass Hersteller die Berechtigung intern an eine Identität knüpfen und ich mich so identifizieren muss, ist normalerweise unnötig.

    Und wenn man doch einmal die Identität verifizieren muss (bspw. Gegenüber einer Behörde), dann wäre der NPA IMHO tatsächlich eine adäquate Lösung.
    Soweit ich das aus diesem CCC-Talk (https://cdn.media.ccc.de/congress/2009/mp4/26c3-3510-de-technik_des_neuen_epa.mp4) mitgenommen habe ist die Karte selber ziemlich gut gemacht – das Hauptproblem ist halt, dass die Infrastruktur zu Tode gespart wurde…
    Hätte man bspw. diese unsägliche Gebühr bei Erstausgaben/Verlängerungen angeschafft und stattdessen mit Reiner kooperiert, dass direkt bei Abholung ein 20€ Lesegerät mit Pin-Pad und Display angeboten würde – dann sähe die Situation heute ganz anders aus.

    Btw. @Tim unterscheidet auch der NPA zwischen Identitätsfeststellung und Berechtigung; bspw. kann der Personalausweis einfach bestätigen, dass die Person über 18 ist usw.

  4. Interessant an den IT-Problemen bei der Hessenwahl ist auch, dass es nur wenige Tage vorher auch in München bei der Landtagswahl ähnliche Probleme gab: da das System beim Abschicken der Ergebnisse überlastet war, konnten wir als Wahlhelfer*innen die Ergebnisse stundenlang nicht abschicken (und hatten das Ergebnis schlussendlich dann auch in Papierform eingereicht), das Wahlamt hat deswegen zwischenzeitlich sogar nur geschätzte Ergebnisse herausgegeben. Am Ende waren u.a. diese Probleme auch Anlass, die Stimmzettel in einem besonders knappen Stimmkreis erneut auzählen zu lassen: https://www.sueddeutsche.de/muenchen/landtagswahl-bayern-muenchen-1.4177584

  5. Einen Verkaufstermin für den CCC anzusetzen, während Union spielt, sollte in den Statuten des CCC verboten werden.
    Das ist, als würde man ein Union-Spiel ansetzen, wenn Weihnachtssingen ist … ;-)

  6. Zum Thema Identity Provider: In der Schweiz ist letztes Jahr SwissID [0] rausgekommen. Dabei handelt es sich um einen Identity Provider der Firma SwissSign, ein Tochterunternehmen der Schweizerischen Post und der Schweizerischen Bundesbahnen. SwissSign betreibt übrigens auch eine in den meisten Browsern anerkannte Root-CA…

    Das Produkt soll neben zentralisiertem Login auch noch die bürgerliche Identität integrieren, 2FA machen und (in Zukunft) qualifizierte elektronische Signaturen erstellen können (wobei sie selber zugeben, dass sie den für die Signatur verwendeten Private Key selber behalten, aufgrund eines Loopholes in der Gesetzeslage [1] ist das rechtlich sogar zulässig).

    Als die SwissID auf den Markt kam, hat die Post angefangen, den Inhabern der Accounts auf Ihrer Website mitzuteilen, dass sie jetzt 14 Tage Zeit hätten, ihren post.ch-Login mit einer SwissID zu verknüpfen, andernfalls werde der Account gesperrt. [2] Den Medien gegenüber verkündete der CEO den Start als grossen Erfolg, bereits innert 14 Tage nach Start bei post.ch hätten mehrere Tausend Personen begonnen, SwissID zu benutzen (finde den Artikel leider nicht mehr).

    Das ganze wird noch suspekter, wenn man ein anderes Produkt der Post berücksichtigt: die SuisseID, eine SmartCard-Lösung, die vor ein paar Jahren auf den Markt kam, jedoch keinen nennenswerten Erfolg hatte. [3] Klingt ausgesprochen genau gleich, ist aber ein komplett anderes Produkt. (und hier dürfen sie den Private Key nicht behalten!)

    Auch auf kritische Fragen wird meist nur pauschal geantwortet (“Die Daten werden sicher auf System der Firma SwisSign in der Schweiz gehostet.”), oder auch gar nicht (“Hier handelt es sich um vertrauliche Informationen, welche nicht weitergegeben weden können.”). Auch noch lustig: Das Ticket, das aus meinen Fragen generiert wurde, wurde mit dem Tag “SuisseID” versehen…

    Ich weiss nicht, ob davon irgendwas in den Norden übegeschwappt ist. Hat man in Deutschland schonmal davon gehört? Und gibt es in Deutschland ähnliche Bemühungen, sowas einzuführen (und nein, ich meine damit nicht die De-Mail :P )

    [0]: https://swissid.ch/
    [1]: VZertES, Art. 8: https://www.admin.ch/opc/de/classified-compilation/20162168/index.html#a8
    [2]: https://www.srf.ch/news/schweiz/identitaet-im-internethandel-post-sattelt-auf-swissid-um-was-wenn-ich-nicht-reagiere
    [3]: https://www.post.ch/en/business/a-z-of-subjects/suisseid/products-and-prices

  7. Eine (leider sehr lange) Anmerkung zum Thema Identität: Ich fand, dass eure Diskussion verschiedene Themen vermischt hat. Es wäre hilfreich, hier zunächst mal Begriffe zu differenzieren, um klar sehen zu können, über welchen Aspekt des Themas gerade geredet wird. Zunächst müssten wir mal all die psychologischen und sozialwissenschaftlichen Bedeutungsebenen dieses Begriffes ausblenden und klarstellen, dass das Thema nicht Identität als solche ist, sondern Identitätsnachweis. Das ist ein Thema, dass sich auf der Ebene gesellschaftlicher Steuerungs- und Regelungsfunktionen bewegt. Solche Steuerungs- und Regelungsfunktionen sind Merkmale von Organisationen. Organisationen sind durch Regeln und Rollenzuschreibungen verfasst. Das heißt, für den Scope der jeweiligen Organsation (Merken, das wird nochmal wichtig!) wird beschrieben, welche Funktionen es in dieser Organisation gibt und welche Berechtigungen und Verantwortlichkeiten für die/den jeweilige_n Funktionsträger_in gelten (z.B. Geschäftsführung, Parteivorsitz, Vereinsmitglied etc.).
    Man kann die Rollenzuweisung also als eine Zuweisung von Berechtigungen beschreiben. Optimalerweise gibt es einen klar und transparent beschriebenen Vorgang, wie diese Berechtigungszuweisung geschieht (z.B. Ernennung, Wahl, Eintritt, Absolvieren einer Prüfung etc.).
    Für den gesamtgesellschaftlichen Scope ist die Organisation, die das alles regelt, traditionell der Staat. Hier werden Dinge wie Wahlrecht, Schulpflicht, Berechtigungen zur Führung von Kraftfahrzeugen, Rentenansprüche usw. geregelt.
    Linus hat zum Teil recht, wenn er sagt, dass man doch eigentlich ein System haben möchte, in dem der Fokus auf den Berechtigungen liegt und nicht auf Identitätsnachweisen, weil Identitätsnachweise letztlich gegen einen verwendet wird. Das stimmt, ist aber nur ein Teil der Betrachtung. Denn auch für die Funktion des Gesamtsystems ist Identität – also die Feststellung, dass zwei oder mehr Funktionsträger ein und die selbe Person sind – von Bedeutung. Und zwar immer dann, wenn die Wiederholung oder gerechte Verteilung von Berechtigungszuweisungen interessant sind.

    Man möchte Wahlrecht jeder Person nur einmal zuweisen.
    Man möchte verhindern das der wiederholte Verkehrssünder, dem man die Fahrerlaubnis entzogen hat, sich einfach neu zur Fahrprüfung meldet.
    Man möchte dem Manager, der eine Airline ruiniert hat, nicht die Verantwortung für ein Großbauprojekt zuweisen etc.
    Man möchte einer Unternehmerin nicht die Kontrolle über das Amt geben, das für die Regulation ihres Unternehmens zuständig ist.
    usw.

    Es stimmt natürlich, dass sich die jeweilige Person das vielleicht anders wünscht, aber es ergibt an dieser Stelle Sinn, nicht nur klare und transparente Regeln zur Erlangung von Berechtigungen zu haben, sondern auch Buch darüber zu führen, ob eine bestimmte Person diese (oder angrenzende) Berechtigungen schon einmal erlangt hat: über Identitätsnachweis.
    Nun kommt der Scope der jeweiligen Organisation wieder ins Spiel. Wünschenswert ist, dass die jeweilige Organisation die Identität wirklich nur im Bezug auf diejenigen anderen Berechtigungen prüfen kann, die für die gerade vorliegende Berechtigungszuweisung von Bedeutung sind. Für die Führung einer Regulationsbehörde ist die Frage wichtig, ob man eine wichtige Funktion in einem Unternehmen des Zuständigkeitsbereichs innehat, aber nicht die Frage, ob man Mitglied im Fitnesstudio ist.
    So. Nun, da die Begriffe zurechtgelegt sind, die eigentliche Anmerkung.
    Zunächst allgemein:

    Im klassischen Verfahren stellt der Staat einen zentralen Identitätsnachweis als Infrastruktur zur Verfügung, die er selbst und andere Organisationen für die Zuweisungen von Berechtigungen verwenden können.
    Die Information, welche Organisation welche Berechtigungen welchen Personen zugewiesen hat, wird nicht zentral gespeichert. Idealerweise ist nur die Identität zentral, die restlichen Informationen sind dezentral bei den jeweiligen Organisationen gespeichert. Die Information, ob Organisation A einer bestimmten Person eine bestimmte Berechtigung zugewiesen (oder wieder entzogen) hat, muss Organisation B bei Organisation A erfragen.
    Regelungen wie Datenschutz sollen sicherstellen, dass eine Organisation (idealerweise auch der der Staat selbst) nur Informationen bzgl. jener anderer Berechtigungen erfragen darf, an denen sie für die ihr vorliegende Zuweisung von Berechtigungen ein nachvollziehbar notwendiges Interesse hat.
    Wie diese Infrastruktur im Internet-Zeitalter sinnvoll gestaltet werden soll, ist zu diskutieren (da hat Tim wiederum recht). Insbesondere die über Nationalstaatsgrenzen hinausgehenden Aktivitäten der Menschen sind dabei spannend.

    Dann spezifisch zu den Identitätsprovidern:

    Hier ist die Information, welche Person von welchen Organisationen welche Berechtigungen hat, an einer zentralen Stelle gespeichert. (OK, oder mehreren Mini-Zentralen, zwischen denen man sich entscheiden kann.)
    Hier lässt sich die Verlagerung von klassisch staatlichen Aufgaben in den privaten Sektor beobachten. Ob das per se problematisch ist, sei mal dahin gestellt, aber insbesondere bei profitorientierten Unternehmen kann man einen Interessenskonflikt unterstellen.
    Die Identitätsprovider sammeln Identitätsinformationen in einem potentiell unbegrenzten Scope und entscheiden nach ihren eigenen Regeln, wem sie Zugriff auf welchen Scope gewähren. Rechtliche Regelungen, die in beiden Fällen den Scope begrenzen sollen, gibt es aktuell (fast) nur auf nationalstaatlicher Ebene und haben daher kaum Effekt.

    tl,dr: Linus hat recht, Identitätsprovider sind ein Problem. Tim hat recht, irgendwie braucht man Identität. Wie man das für die supranationale Lebenswelt des Internet-Zeitalters organisiert ist spannend und wichtig. Privatwirtschaftliche Identitätsprovider sind nicht die Antwort, sondern eine Gefahr.

  8. Hallo zusammen, ich wollte nur mal was zum Thema BIM-Planung beitragen, leider hinken wir hier in Deutschland wie bei dem Glasfaserausbau hinterher. Die Regel sind immer noch konventionelle Planungen, wenn alles gut läuft wird 3D gearbeitet.
    Die Regel ist immer noch das die Planung zwischen Fachplanern 2D ausgetauscht wird. 2020 soll BIM bei öffentlich ausgeschriebenen Projekten bindend, die wenigsten Architekturbüros sind darauf vorbereitet.

    • So sieht es aus. Für fachfremde Personen kaum zu glauben, aber BIM ist hierzulande kaum in der Praxis anzutreffen. Ich habe als Bauzeichner Azubi die Umstellung von Zeichenbrett auf CAD erlebt und sehe jetzt als Architekt dem Umstieg auf BIM ins Auge. Dieser Schritt ist aber ein viel größerer, da sich damit die gesamte Arbeitsweise ändern muss und die klassischen Leistungsphasen in der Bauplanung so nicht mehr zutreffen. Das ist ein riesen Thema und der Wandel muss kommen, aber Büros scheitern reihenweise daran “jetzt auch mal BIM zu machen”.
      Am ehesten geht das noch bei großen Projekten die vollständig in der Hand von einem Unternehmen liegen. Aber sogar der größte Bau der Nachkriegszeit für die Schlapphüte in Berlin wurde konventionell geplant. Ich kann als zeitweilig Beteiligter übrigens berichten, dass die Geheimhaltung der Baupläne auch wenig ambitioniert betrieben wurde. Wir sollten die Dateien irgendwie verschlüsselt aufbewahren. Aber kontrolliert hat das niemand und nicht selten gingen Pläne durch E- Mails raus. Wir als Planer wurden allerdings zuvor alle durchleuchtet.

  9. Zum Thema geheime Baupläne:

    Das Abhandenkommen geheimer Baupläne ist dem BND bei seinen Betonklötzen in Mitte auch passiert, weil es nur eine Nebengebäude war hat man sich gegen Umplanungen entschieden. Wenn ich das richtig in Erinnerung habe hatten sie extra allen Sub-Unternehmern nur den für sie relevanten Teil gegeben, bzw. sogar falsche Pläne für nicht relevante Teile verteilt. Abhanden gekommen sind aber die Originale…

    Ich kann mir allerdings (als Laie) schon vorstellen, dass im Baubereich Security by Obscurity (in gewissem Rahmen) schon Teil des Konzeptes sein kann, einfach weil ein Gebäude zu bauen, dass auch mit genauem Wissen der „Angreifer“ sicher ist dann extrem teuer sein könnte. In den BND-Plänen standen wohl auch so Dinge mit Einbruch-Gegenmaßnahmen, und bessere Vorbereitung kann da vermutlich für Einbrecher viel wert sein, das ist in der IT-Security u.U. egal.

    Zum Thema ID:

    Ich glaube, man muss das trennen zwischen der 0815-Internet-Identifizierung/-Authentisierung und der Identitätsfeststellung (oder auch Berechtigungsnachweis) im Sinne einer hoheitlich festgestellten Identität (also alles was mit Perso, Führerschein, etc. zu tun hat).

    Ich glaube kaum, dass Verimi oder WebID irgendeinen Fuß in den 0815-Web-Identitäsmarkt bekommen in dem Google, Twitter, Facebook und Co unterwegs sind. Da geht es darum Passwörter zu sparen und Mail-Adressen nicht nochmal Bestätigen zu müssen, also weitestgehend Komfort. Verimi und WebID scheinen eher auf die hoheitliche Identifizierung abzusehen, quasi Postident im Internet (die Post bietet das übrigens auch an, nennt sich PostID). Da geht es darum zum einen den Aufwand der Identifizierungsinfrastruktur abzunehmen (also irgendwelche Callcenter zu betreiben wo Menschen Videoindentifizierung machen oder dem Bundesverwaltungsamt Papier-Formulare zu schicken um an ein Berechtigungszertifikat für eID mit dem Perso zu bekommen).

    Beim 0815-ID-Markt kann ich Linus’ Bedenken total nachvollziehen, das ist eine bedenkliche Zentralisierung, auch weil es da ein quasi-Oligopol gibt.
    Bei der Identitätsfeststellung sehe ich das Problem weniger, da gibt es ja schließlich nur einen Identitätsprovider und das ist der Staat, alle anderen sind nur technische Mittelmänner.

    Für die Identitätsbestätigung gibt es ja eigentlich eID, das funktioniert auch super, leider allerdings wenig verbreitet. Dabei haben sie auch ein paar Dinge sehr gut umgesetzt, bspw. werden nur die angefragten Merkmale übertragen, diese werden vorher angezeigt und es gibt die Möglichkeit einige Merkmale freiwillig zu machen. Dieses Video-Verfahren ist dagegen nervig, unsicher, zeitintesiv, personalintensiv und datenschutzmäßig bedenklicher (es werden immer alle Daten des Persos übertragen). Trotzdem wird es viel häufiger verwendet, weil sich eID nicht durchgesetzt hat (man braucht NFC-Leser und Software, der Anbieter ein Berechtigungszertifikat und Infrastruktur).

    Wer eID mal testen will: auch für Android gibt es die AusweisApp2, vor Android 9 funktioniert sie mit einigen Geräten mit NFC, ab Android 9 (Pie) sollte sie mit den meisten Geräten mit NFC funktionieren. Die App kann mit der Win/Mac-Ausweisapp sogar einfach als Lesegerät verwendet werden. In der App gibt es eine Selbstauskunft-Funktion, mit der sich das Verfahren testen lässt. Die Online-Funktion muss eingeschaltet sein, leider ist da auch aus Hackerkreisen viel Panik verbreitet worden, so dass viele die Funktion abgeschaltet haben (wenn man keine PIN bekommen hat ist sie wahrscheinlich aus).

    Diese neue Schwemme an Identitätsprovidern könnte allerdings auch mit der eIDAS-Verordnung der EU zusammenhängen. Die regelt nicht nur die gegenseitige Anerkennung der eID-Systeme der Mitgliedsstaaten (es soll wohl auch technische Interoperabilität kommen) sondern auch das gleiche für Signatur-Funktionen. Das, was Verimi und WebID offenbar auch anbieten wollen (zumindest steht da was von rechtsgültigen Dokumenten) ist dann wohl die eIDAS-Fernsignatur, und das scheint genauso schlimm zu sein wie es klingt: Crypto-as-a-Service für rechtsgültige Unterschriften (auf Basis der eID als Authentifizierung). Zu Gunsten der eIDAS-Fernsignatur hat btw. die Bundesnetzagentur die Ausstellung von Zertifikaten für den Perso eingestellt, d.h. die Signaturfunktion des Personalausweises ist jetzt nutzlos.

    Ich fände es übrigens super, wenn ihr mal jemanden einladen könntet, der die ganze eIDAS-Geschichte verfolgt und durchschaut hat, das könnte wichtig werden, ist aber leider auch ein relativ großer Brocken. https://en.wikipedia.org/wiki/EIDAS

    Für die 0185-Web-Authentifizierung kommt übrigens gerade ein Web-Standard, nämlich WebAuthn. WebAuthn löst hoffentlich das Problem Passwörter, stattdessen gibt es dafür dann eine Schnittstelle im Browser und Crypto. Als Provider (also Speicherort der Zugangsdaten) kann dann da der Browser, ein Smartphone, ein USB-Stick (yubikey, etc.), TPM, Smartcard, … dienen. https://en.wikipedia.org/wiki/WebAuthn

  10. Linus, dass wir keine Identität im Internet haben wollen, kann man zwar damit begründen, dass wir keine Identität im Internet haben wollen *g* (und noch nie brauchten), dass sie nur ein weiteres Geschäftsmodell erfüllen soll und jemand gegen den User arbeitet. Aber “Das war schon immer so” ist grundsätzlich keine Begründung für oder gegen etwas. Ein Geschäftsmodell ist nicht per se etwas negatives, selbst wenn es die Verarbeitung personenbezogener Daten zum Inhalt hat. Und was heißt “Arbeitet gegen Dich”? Warum sollte der ID-Provider so etwas tun?

    Meint: Willst Du die Leute davon überzeugen, dass eine solche Internet-ID eine blöde Idee ist, dann musst Du ihnen auch erklären, warum welche Nachteile überwiegen. In meinem Dunstkreis würde mind. die Hälfte der Leute eine solche ID nutzen wollen und zwar aus den Gründen, die Tim nannte: Einfache und bequeme Nutzung von Diensten mit einem quasi SSO. Ich kenne auch Leute, die eine solche ID bereits voraussetzen und sich wundern, dass ihre Apple-ID nicht überall funktioniert. Die Leute nutzen 1 Passwort für alle Dienste, weil ein Passwortmanager nicht komfortabel ist. Warum sollen sie also keinen Dienst benutzen, der ihnen genau diesen Komfort bietet?

    Mir gehen z.B. folgende Fragen und Überlegungen durch den Kopf:
    Die Monopolstellung von ID-Providern birgt allein dadurch Nachteile, dass diese Provider die alleinige Herrschaft über die Daten erhalten und somit die Macht darüber, was der User und andere mit diesen Daten machen können. Damit kontrollieren die Provider auch die Identität, denn in dem Moment, in dem der User seine Daten bei anderen verwalten lässt, gibt er auch die Kontrolle über diese Identität ab. Gleichgültig, was die DSGVO dazu meint. Und es besteht ein Unterschied darin, welche Identität ich bei nur einem Anbieter preisgebe oder welche Identität ich gegenüber einer Vielzahl von (weltweit verbundenen) Anbietern preisgebe. Die Möglichkeit einer pseudonymen oder gar anonymen Nutzung des Internets sinkt mit der steigenden Anzahl derer, denen ich ein- und dieselbe Identität bekanntgebe.

    Was passsiert, wenn einer der angeschlossenen Anbieter einen “bösen User” meldet (ähnlich NetzDG). Wer hätte überhaupt welches Recht, einen User wovon warum ausschließen zu lassen und wie kann sich der User dagegen wehren? Wird er bei einem Anbieter gesperrt, hätte das aus welchem Grund welche Konsequenzen bei anderen Anbietern? Wird’s eine Blacklist beim Provider geben?

    Sind Bezahldienste involviert, ist dann automatisch die Schufa involviert? Wie würden solche zentrale Stellen (ID, Bonität, Auskunftei, Bank) zusammenarbeiten und/oder die Daten des Users abgeglichen werden, um z.B. Betrugsversuche zu erkennen? Ein solcher Datenabgleich ist die zwangsläufige Konsequenz, denn er senkt die Kosten bei den Anbietern, da sie bestimmte Dienste nicht mehr selbst bereitstellen müssen. Wie würde der User davon erfahren und wie könnte er es beeinflussen?

    Jeder Anbieter fordert derzeit einen eigenen Datenumfang. Der eine nur die E-Mail-Adresse, der andere die Kopie des Personalausweises, dazwischen eine gewisse Bandbreite bis hin zum biometrischen Bild. Schlussendlich ergeben die von allen Anbietern erwünschten Daten bei den ID-Providern ein recht umfangreiches Datenprofil zu einer Person. Bei GMX und Web.de wurde die angegebene Adresse bisher nicht überprüft? Wenn diese Anbieter die Adresse als erforderlichen Datensatz angeben, dann werden bisherige identitätsverbergende Angaben ins Gegenteil verkehrt. Denn selbst Anbieter, die eigentlich gar keine Adresse benötigen, erhalten dann die korrekte Adresse des Users.

    Wie wird sichergestellt, dass der Anbieter auch nur “seine” Daten bekommt und nicht den kompletten Datensatz? Der User kann auswählen, welcher Anbieter welche Daten erhält. Lässt der Anbieter diese Auswahl überhaupt zu? Oder kann der User, wenn er bei GMX die Adresse abwählt, diesen Dienst dann nicht mehr nutzen? Und welcher User wird das tun? Das funktioniert weder bei den zahlreich abwählbaren Cookies noch bei den zahlreich datensammelnden Smartphone-Apps. Weil Anzahl und Aufwand für den User zu hoch sind, es ist weder einfach noch bequem. Aufgabe des Datenschutzes ist jedoch nicht, den User vor sich selbst zu schützen. Sein Tun liegt in seiner Verantwortung – Selbstbestimmung. Jedoch kann man die User im Wissen um ihre Bequemlichkeit auch bewusst manipulieren.

    Und was passiert, wenn ein Anbieter den ID-Provider wechselt? Wird dann mittels Datenübertragbarkeit ein zweites, identisches Datenprofil erstellt? Wie viele ID-Provider soll’s denn geben?

    Eine solche Identitätssammlung birgt reichlich Missbrauchspotential für jeden Interessenten, der genügend Gegenwert oder etwas wie zukünftige Gefahrenabwehr zu bieten hat. Zur vereinfachten Überwachung und Manipulation eines Users durch die Monopolisten selbst und auch durch ihre verborgenen Geschäftspartner (Wer dürfte welche Daten des Users außerhalb des Auswählbaren wofür benutzen? Siehe Cambridge Analytica u.ä.) gesellt sich nämlich das Interesse bekannter Behörden und unbekannter Dienste (Muss bei der Einreise dann die netID angegeben werden?). Deren Begehrlichkeiten werden durch eine solche Datensammlung ganz einfach erfüllt, denn ein Ansprechpartner genügt, um an das umfangreiche Profil bei allen ID-Providern und angeschlossenen Anbietern zu gelangen. Und dieses Verlangen inkl. Speicherung von Daten Unbescholtener ist keine Spinnerei mehr, die Absicht besteht durchaus (siehe Bestandsdatenauskunft[1]).

    Die Nachteile einer Zentralisierung umfassen neben allg. bekannten Nachteilen (Ausfall der zentralen Stelle => Ausfall aller damit verbundenen Dienste) auch den Identitätsmissbrauch: Daten der zentralen Stelle “geklaut” => Daten für alle angeschlossenen Anbieter “geklaut” => Angreifer kann alle Dienste nutzen, die eigentlich nur dem User zur Verfügung stehen. Das ist etwas, das auch eine Verwaltung durch Non-Profit-Dienste verneinen würde. Bei “Praktisch: Falls Sie eine E-Mail-Adresse z.B. bei WEB.DE oder GMX nutzen…”[2] fällt mir als erstes “500 Mio. E-Mail-Adres­sen und Pass­wör­ter be­trof­fen”[3] ein.

    ^ Solche Überlegungen zum schließlich für Wirtschaft und Behörden vollständig gläseren User machen das Vorhaben Internet-ID aus meiner Sicht zu einer ganz blöden Idee. Natürlich abgesehen davon, dass wir keine Identität im Internet haben wollen, weil wir sie nicht haben wollen. ;-)

    Berechtigungen funktionieren bei den Firmen-Smartcards, die ich kenne, nicht ohne Identität. Eine Berechtigung ist dabei immer an eine Identität gebunden. Das muss sie auch, weil ansonsten nicht nachvollzogen werden kann, welche Person etwas nutzt oder bedient oder welches Gebäude betritt. Eine Firma will verständlicherweise nicht, dass ihr unbekannte Personen irgendwelche Berechtigungen erhalten. Die Berechtigung stellt hier immer eine Befugnis für eine bestimmte Identität dar und erlaubt auch die direkte Verknüpfung von Karte, deren Nutzung und der zugehörigen Person. Diese zentrale Stelle der Firma ist bei solchen Smartcards also nichts anderes als der ID-Provider im Internet, sie verwaltet hier nur die Identität des Beschäftigten inkl. Berechtigungen. Insofern ist das Beispiel mit den Firmen-Smartcards etwas unglücklich gewählt. Du meintest, wenn ich Dich richtig verstanden habe, eher so etwas wie anonymes Prepaid? Bei diesen netID-Diensten geht es aber genau darum, etwas für eine bestimmte Person anzubieten. Es geht also gerade nicht um eine anonyme Nutzung von Berechtigungen. Conrad muss das bestellte Bauteil ja irgendwohin liefern.

    [1] http://www.spiegel.de/netzwelt/web/bestandsdatenauskunft-datenschuetzerin-bemaengelt-bundesdatengesetz-a-1237640.html
    [2] https://netid.de/
    [3] https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Kurzmeldungen/170705_HackerSammlung.html

  11. Was mir in der Sendung gefehlt hat, war, den elementaren Unterschied zwischen Identity Provider und Staat herauszuarbeiten:

    Der Identity Provider weiß, wo ich überall Accounts habe. Der Staat weiß hingegen nicht, wenn ich bei einer Erwachsenenvideothek, dem Autoverleih oder dem Bordell meinen Ausweis und/oder Führerschein zur Legitimation vorlege. Und das weiß er hoffentlich auch bei der Verwendung des ePersos nicht.

  12. Zu SSO: Neben netID ist auf Telekom-Seite gerade Mobile Connect im Aufbau (https://mobileconnect.io/).
    Das ist ein dezentrales System, wird von den Telekom-Betreibern (bzw der GSMA) angeboten, und ist an die Rufnummer gebunden. Gleichzeitig haben die Telefon-Betreiber auch meiste noch genauere Nachweise über die Identität der Person, was die Authentifizierung noch stärker macht. Mit allen Vor- und Nachteilen.

  13. Ich hätte eine Frage an euch zwei in Anlehnung an die Identitätsdiskussion. Wie steht ihr denn zu Passwortmanagern wie Dashlane und 1Password?

  14. Ein paar Anmerkungen.

    – Zur Identitätsprovidingsache: Zunächst könnte man einen Faktor mitbedenken, der immer mehr und wahrscheinlich auch in Zukunft noch mehr an Bedeutung gewinnt: die Reputation. Reputation ist ein Enabler, weil sie Vertrauen schafft. Sie führt weg aus dem binären „Berechtigt/Nicht Berechtigt“ und ermöglicht über Transparenz dem jeweils anderen selbst zu entscheiden, ob man mit der Person Geschäfte machen will, sie daten will, etc. Eine zentrale Identitätsstelle hat also auch den Vorteil, dass dort alle möglichen Feedbacks („Toller Ebayer, gerne wieder“, „angenehmer Diskutant“, etc) auf die eigene Reputation einzahlen. Und ja, das geht dann schnell in die Richtung der chinesischen Social Credit Systems und ist Gegenstand vieler westlicher Horrorszenarien, aber ich finde, auch die Vorteile liegen auch auf der Hand.

    – Zu den aufpoppenden Identitätsprovidern in Deutschland scheint ihr aber den Hauptdriver der Entwicklung komplett zu übersehen. Der Hintergrund ist ganz klar die DSGVO. Anders, als es sich gerne in netzpolitischen Zirkeln erzählt wird, sind Google und Facebook die großen Gewinner der DSGVO und treiben in Sachen Compliance vor allem die deutsche Werbeindustrie vor sich her. https://www.adzine.de/2018/04/wirbel-um-dsgvo-auf-dem-mobile-ad-summit-2018/

    Der wesentliche Punkt: Die DSGVO verlangt von den Datenverarbeitenden Stellen _nachweisbare_ Unterrichtungen zu dem Zweck der Datensammlung. Doch bisher wussten die meisten Adfirmen ja gar nicht, wer da ihre Banner sieht, konnten sich also wenn überhaupt nur ein anonymes OK abholen. Das reicht als Nachweis natürlich nicht. Du brauchst schon die Identität (zumindest eine Zuordnung) der Nutzer/innen, um compliant zu sein. Das Ergebnis: Google und Facebook schaffen das ganz bequem, denn deren Nutzer/innen haben ja eh schon ein Login.

    Jetzt will natürlich jeder ein Login haben, damit die weiterhin getargete Werbung ausspielen dürfen. Genau dafür werden jetzt Dienste wie VERIMI aus dem Boden gestampft.

    Die Zukunft wird da noch spannend. Wahrscheinlich wird es darauf hinauslaufen, dass man umsonst nur noch Services mit LogIn bekommt. So ein VERIMI hat da sicher noch nicht die Marktmacht, aber die Idee ist sicherlich da noch mehr Dienste, und vor allem Newssites auf die eigene Seite zu ziehen, um den Druck zu erhöhen.

    – Zuletzt: Trump hat Sessions nicht wegen des Kongresses gefeuert, sondern wegen des Senats. Während wir uns über den Gewinn der Demokraten im Kongress freuen, haben die Republikaner ihre Mehrheit im Senat deutlich ausgebaut. Trump konnte Sessions bisher nicht feuern, weil der langjähriger Senator war, dort viele Freunde hat und jeder Nachfolger von ihm vom Senat durchgewunken werden muss. Das wäre bei der bisher nur knappen Mehrheit der Republikaner wohl nicht gegangen. Mit der komfortablen Mehrheit, die Trump dort jetzt hat, kann er Sessions endlich feuern und einen loyaleren Nachfolger installieren.

  15. Ich mag euch ja eigentlich, aber: Linus, deine Aussprache von Magdeburg würde jeden Magdeburger aus dem Anzug fahren lassen! ;-)

    Kurzes “a”, erstes “g” wird als “ch” (wie in ach) und das zweite “g” optional wie in “ich” ausgesprochen… Also Machdeburch

    Und wenn man das mit den “g”s für Dialekt hält… dann sag wenigstens nicht Maaagdeburg. ;-)

  16. Die hessischen Wahlhelfer waren nicht richtig geschult.
    Ok, kann schon mal passieren, Landtag und Verfassung, da kommt halt auch nichts bei rum.

    Bei wichtigen Themen, mit Aussicht auf Revenue Growth, geht man in Hessen strategisch kompetent vor.

    Das Regierungspräsidium Kassel hat vor der Anschaffung des Super-Blitzers “Enforcement Trailer” 15 neue MitarbeiterInnen eingestellt und ein halbes Jahr geschult, um die 800.000 Bescheide vernünftig abarbeiten zu können, die das Teil im Jahr generiert. Ein Erfolgskonzept! Im nächsten Jahr wird jedes Polizeipräsidium in Hessen mit so einem Vollstrecker ausgestattet + 15 SachbearbeiterInnen Droids pro Unit, gut geschult und ready to process.

    https://www.hessenschau.de/tv-sendung/blitzer-haelt-gerichte-auf-trab,video-76994.html

    Hessen ganz vorne mit dabei bei der 4th industrial revolution.
    Eine verkackte Wahl erscheint dem gegenüber doch eher als kleines Missgeschick, an dem sich doch hoffentlich niemand lange aufhängen wird.

    p.s. Selbsfahrende Autos, da sehe ich eine große Gefahr (für den Enforcement Trailer)!
    Aber vielleicht könnte man die 15 Droids durch Bots ersetzen um den Revenue Growth zu optimieren.

  17. Könnt ihr mal endlich die AFD auslassen? Es gibt noch Dutzende andere, schlimmere Organisationen (1.) und als Ausländer (2.) geht mir euer Problem mit ein paar Hanseln in eurem Parlament sowieso hinten vorbei.
    Eure Gesetze werden in der EU gemacht (3.) und da sollte auch der Fokus grösstenteils bleiben. Sonst ist es ein wenig scheinheilig, über die EU-Kritiker herzuziehen und gleichzeitig dieselbe Unpolitik auf nationaler Ebene anzuprangern (4.).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.