LNP353 Ein Geisterfahrer? Tausende!

Feedback — Malware as a Service — Kontaktlisten — CWA-Scammer — PIMeyes — Blueleaks

Ganz viel Feedback von Euch, dem wir eingangs Raum geben, ansonsten wenden wir uns wie gewohnt den aktuellen Dystopien der Woche zu. Die Bundesregierung will jetzt alle Internet Provider zu Komplizen beim Installieren von Malware machen und in der Schweiz begegnet man der Herausforderungen von Corona-Kontaktlisten mit der Sicherheitsattitüde der 90er während in Polen fleissig Gesichtserkennung privatisiert wird. Die AfD wiederum versucht Geld aus der Corona-Krise zu schlagen und fabuliert über das Design der Corona-Warn-App, hat aber leider entweder nichts verstanden oder lügt einfach darüber. Wäre beides traurig genug. Aber auch andere Aktivisten lassen es an Kompetenz fehlen.

Dauer: 1:42:19

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Prolog

Neues aus Stuttgart

Feedback: Zero-Rating und DPI

Feedback: Traffic-Kosten

Feedback: AMS-Algorithmus

Feedback: 30.000 Verdachtsfälle

Update: Patientendatenschutzgesetz (PDSG)

Provider sollen bei Installation von Schadsoftware helfen

Kontaktlisten

CWA-Scammer

PIMeyes

Blueleaks

Bonus Track

50 Gedanken zu „LNP353 Ein Geisterfahrer? Tausende!

  1. Moin,
    vielen Dank für unfassbar ausdauernd gute Arbeit!
    Ich höre die Folgen jetzt zum zweiten Mal von Anfang an und bin begeistert wie gut ihr von Anfang an Quellen gepflegt und Dinge in einen Kontext gerückt habt.

    Auch eure Fehlerkultur ist bemerkenswert.

    Nun zum aktuellen Anlass :

    Es wurde ja der Encrochat hochgenommen.
    https://www.heise.de/news/Encrochat-geknackt-Schwerer-Schlag-gegen-organisierte-Kriminalitaet-4802419.html

    Ich hatte gehofft, dass ihr den Vorfall besprecht.
    Soweit ich das verstanden habe wurden da mit nicht wenig Aufwand Telefone mit custom OS bespielt um dann eine platform für Kriminelle zu schaffen. Inklusive Abo Modell und verschlüsselter Kommunikation.
    Könntet ihr was zum technischen Aufbau und ggf zu den Schwächen sagen wenn ihr Informationen dazu habt.
    Was wurde denen zum Verhängnis?

    Ich hatte das als relevantes Thema empfunden und war überrascht, dass es nicht aufgefasst wurde. Wenn das Thema uninteressant für euch ist, könntet ihr erklären warum, damit ich meinen Radar justieren kann :)

    Vielen Dank und viele Grüße

  2. Langsam bräuchte man ein logbuch it-sicherheit um neben dem politischen Aspekt auch mal praktische Tipps zu verbreiten in regelmäßigen Abständen.
    Apps anzuschauen, Anwendungen, deren Umgang.

    Der Großteil der Verbindungen ist seit den Snowden Leaks auf Verschlüsselung umgestiegen.
    Das wenige im Klartext was ich hier noch auf Port 80 rausgehen sehe sind Captive Portal Checks und OSCP Zertifikatsprüfungen.
    Wollen sie wirklich so weit gehen und CAs verbrennen dafür?
    Zeit für mehr DNSSEC DANE und TOR.

  3. Super!, eine Sonntagsfolge.

    Und täglich grüßt das Murmeltier. Wie bei der #Blueleaks-Geschichte zu sehen, etabliert sich das spontane Durchsuchen von Zeugen ohne richterlichen Beschluss. Das führt dann natürlich zu der rabiaten Vorstellung es rennt ein Beamter durch das Zentrum und “zieht den Server aus dem Regal”. Wie sieht es eigentlich mit etwaigem Beifang bei solchen Aktionen aus? So ein Server in einem Rack beinhaltet doch sicherlich weitere Systeme. Sind diese dann auch Zeugen?

    Zu DDoSecrets: Das bloße Leaken von Daten allein solte kein Journalismus sein. Zu Journalismus gehört auch eine Aufbereitung und Einordnung, sowie ggfs. eine Auswahl der weiteren Journalist_innen, die die Daten erhalten sollen. Um sich auf die Pressefreiheit berufen zu können, sollte auch ein gewissenhafter Umgang mit Quellen erfolgen.

  4. Der Vergleich mit den Geisterfahrern mag im geschilderten Fall zutreffen, ist aber ansonsten eher ein schwaches Argument: Kollektive können durchaus irren, und Individuen, die konträre Positionen einnehmen, können durchaus richtig liegen. Eine Sophie Scholl wird in der Gesellschaft ihrer Zeit sicher auch tausenden Geisterfahrern begegnet sein. Heute missbilligen wir den damals in Deutschland vorherrschenden Common Sense – und benennen Schulen nach Sophie Scholl.

  5. Danke für die abschließende Darstellung zu DPI. Dem Kontext und der Wortwahl entnehme ich, dass ihr zwar Netze ohne DPI schöner findet, aber grundsätzlich kein Problem mit DPI habt. Ist dann halt so.

    Ich sage Laien, die mich fragen – ich arbeite in der TK-Branche – immer, dass man davon ausgehen/unterstellen muss, dass ein ISP alles mit liest. Alles andere ist blauäugig.

    Wenn ich das verhindern will, muss ich halt verschlüsseln. Im besten Fall TLS Version 1.3. Zusätzlich noch auf DNS achten. Da sind wir dann beim Thema eigenen/vertrauswürdigen DNS-Resolver und DoH.

    • Dem Kontext und der Wortwahl entnehme ich, dass ihr zwar Netze ohne DPI schöner findet, aber grundsätzlich kein Problem mit DPI habt. Ist dann halt so.

      Dem Kontext und deiner Wortwahl entnehme ich, dass es sich nicht lohnt, weiter mit dir zu diskutieren.

      • Tschuldigung. So habe ich das nicht gemeint. War nur überrascht keine negative Bewertung gehört zu haben. Gut die Fakten, dass ISPs oft DPI machten wurden dar gestellt. Aber es wurde nicht erwähnt ob und wenn ja warum das nicht okay ist (z.B. juristisch). Das meinte ich mit Kontext.

        Der Aspekt wurde thematisiert.

        • DPI: Mehr als Recht geben kann ich dir ja nicht ;)
          Zero-rating: wir haben sowohl in der letzten als auch in dieser Sendung gesagt, dass einfach alles zero-rated sein soll, das löst viele Probleme ;)

  6. Eine Sonderfolge zum Thema IT Sicherheit faende ich auch mal super. Es ist ja selbst unter Linux so das ich mich mittlerweile oefter frage ob ich den verschiedenen Distributionen wirklich “trauen” kann, so ein paar Empfehlungen waeren da wirklich hilfreich.
    Ansonsten danke fuer die tolle Sendung, macht weiter so.

  7. Hallihallo
    danke erstmal für die guten Podcasts :)
    Gibt es eine Liste aller Bonustracks? Ich würde nämlich gerne ein Logbuch:Netzpolitik Playlist mit den ganzen Lieder erstellen.

  8. Hi. Ich freue mich als neuer Hörer immer auf die nächste Folge. Als Exil-Schwabe finde ich auch jedes herziehen über die Hauptstadt des Grauens großartig. Was mir in den letzten Folgen in den Witzen über Stuttgart fehlte: Die Thematisierung von Rassismus in dem Kontext. So gab es mehrere Stimmen, die einen Zusammenhang zwischen einer (vermutlich ) rassistischen Polizeikontrolle (im kurzen Zeitlichen Abstand zum Mord an George Floyd) und den anschließenden Krawallen sahen. Dann habt ihr euch zurecht über die Spießer schwaben “Punks” lustig gemacht, dann aber dabei nicht erwähnt, dass die junge Person rassistisch argumentierte. Letztendlich beweisen auch die neusten Entwicklungen (Stammbaumforschung und rassistische Funksprüche), dass Rassismus Teil & aktuellen Problems ist.
    Warum ihr es nicht erwähnt habt, wisst nur ihr. Was aber mir immer wieder begegnet ist der Blick vom Berlin auf Ba-Wü in dem nur über Autos, Sprache und P’Berg gesprochen wird – die Menschen die aber auch in so einer Stadt Rassismus und Diskriminierung entgegenwirken wollen ist damit wenig geholfen.
    Alles Gute,

  9. Zum Thema IDs durchprobieren bei Webapps um an fremde Daten zu gelangen schildere ich hier mal einen Fall aus dem letzten Jahr:

    Ich hatte mit einer unserer deutschen Behören zu tun bei welcher bestimmte Anträge über die Website abgebildet werden. Zu diesen Anträgen müssen Dokumente zum Nachweis hochgeladen werden (welche Dokumente spezifiziere ich jetzt nicht – sonst wird die Behörde offensichtich) mit persönlichen Daten die man auf jede Fall nicht öffentlich haben möchte, die Missbrauchspotential haben und bei denen jeder Upload einen eindeutigen Rückschluss auf die Person zulässt.

    Ich verrichte dort also meine Tätigkeit, lade meine Dokumente hoch und erhalte eine Ansicht meiner Uploads. Aus Spaß habe ich dann mal die URL einer der Dateien kopiert und die ID am Ende um eins verringert. Ergebnis: ein Upload einer anderen Person. Das ging sogar ohne Session (sprich von einer anderen IP mit blankem Browsertab).

    Ich habe an der Stelle dann aufgehört und ein großes deutsches IT Portal für die Unterstützung/Durchführung der Responsible Disclosure kontaktiert, da ich wenig Lust auf eine “Fehlinterpretation” meiner Meldung hatte – immerhin war meine Identität zweifelsfrei über meinen Antrag im System feststellbar.
    Auch ohne weiter getestet zu haben gehe ich aber davon aus, dass zehn- oder hunderttausende Dokumente anderer Nutzer des Portals (mit aufsteigenden IDs) frei zugänglich waren. Solche “Features” bekommen wir also auch in Deutschland hin und das an Stellen die weitaus kritischere Daten als den Restaurantbesuch verarbeiten.

    Ergebnis war damals: Nach 1-2 Wochen war das Verhalten nicht mehr reproduzierbar (getestet mit unauthentifiziertem Zugriff auf meine eigenen Uploads), es gab meines Wissens nach weder eine Berichterstattung dazu noch eine (öffentliche) DSGVO Meldung zum potentiellen Datenmissbrauch.

  10. Hallo,

    ich möchte auch nochmal sammys Punkt stark machen. beim Thema Stuttgart Rassismus zu thematisieren wäre angebracht und rassistischen mist wie von den Punks unkommentiert stehen zu lassen geht gar nicht. bitte. danke

    • Kinder, ihr habt es doch alle selber gemerkt.
      Wofür muss das denn noch kommentiert werden?
      Damit am Ende niemand denkt „Wow, das ist aber eine coole Punkerin, so möchte ich auch sein“ und sich 10 Jahre später denkt „Oh mein Gott, hätten Linus und Tim mich nur gewarnt, dass sie verächtliche Begriffe für Migrantinnen verwendet, das hab ich ja gar nicht gemerkt. Wenn Tim und Linus das kommentiert hätten, wäre ich selbst nie Rassistin geworden…“?

      • Das geht am Punkt vorbei Linus. Ihr thematisiert ein gesellschaftliches Ereignis ohne die NotwendigeEinordnung. Und dann zu sagen, ihr merkt es ja selbst ist echt ein lahmer Umgang mit Kritik. Gerade bei Rassismus ist es doch so essentiell das anzusprechen und zu widersprechen weil das viel zu selten passiert.
        Mein Feedback oben macht zusätzlich den Punkt, dass die reine Thematisierung von Geld etc die Auseinandersetzung mit Rassismus erschwert.

        • Einspruch. Journalismus (und als solchen betrachte ich das, was Tim und Linus hier machen), kann auch mal bedeuten, einen O-Ton unkommentiert für sich sprechen zu lassen. Eine rudimentäre Fähigkeit zur Einordnung von Sachverhalten darf auch von Hörerinnen mit maximaler Konsummentalität erwartet werden. Zumal Tim und Linus, wenn auch nicht explizit, so doch durch ihre Metakommunkiation, deutlich ihre Distanz und ablehnende Haltung zum Redebeitrag der Jugendlichen zu verstehen gaben. Wenn sich jemand als Punk bezeichnet und gleichzeitig andere Menschen K***** nennt, dann ist der Mangel an Konsistenz so offensichtlich, dass sich diese Person selbst desavouiert. Hier noch eine einordnende Bewertung zu fordern halte ich für vermessen und intellektuell nicht satisfaktionsfähig.

        • Phishers Phritz war schneller, das wäre ebenfalls unser erster Punkt gewesen ;)

          Wenn sich eine Punkerin u.a. mit fremdenfeindlichen Widersprüchen blamiert und das als Realsatire daherkommt, braucht das nicht notwendigerweise eingeordnet werden. Wegen der vielen Widerspruchsebenen, die hier zur Belustigung beitragen, muss Mensch sich nicht unbedingt diese eine offensichtliche Facette herauspicken.

          Ein zweiter Aspekt, der vielleicht erwähnenswert ist: Sie macht die fremdenfeindlichen Äußerungen vor der Kamera in der Öffentlichkeit. Im Gesprochenen wirkt es komplett schamlos, was ebenfalls zum spontanen Lachreflex beiträgt. Das wäre eher wert diskutiert zu werden. Warum sagt sie das so in der Öffentlichkeit?

          Es wäre wünschenswert, wenn Menschen ihren Rassismus überwinden könnten, aber einstweilen wünschen wir uns das Schamgefühl zurück, was unsere Gesellschaft bis dahin zusammenhält. Das aber – und hier liegt Linus richtig – haben wir in der Erziehung mitbekommen… oder eben nicht.

          • Es gibt hier noch einen anderen Punkt zu bedenken. Das ist eine Schülerin. Keine Ahnung, ob sie überhaupt 16, geschweige denn 18 ist.
            Ich denke mal, dass sie sich mit diesem Auftritt genug Ärger eingehandelt hat – die nächsten Wochen in der Schule werden nicht die schönsten ihrer Kindheit.
            Da braucht sie jetzt nicht auch noch eine ausführliche Einordnung als Rassistin von zwei doppelt so alten Berlinern.

            • Ich würde noch weiterhin sagen, dass die Krawalle als Reaktion auf vermutliche rassistische Polizeigewalt sein könnte. Es geht hier nicht nur um den blöden Spruch des jungen Menschen sondern die Frage ob unterkomplex nur über VW und Mercedes gelacht wird oder ob die Frage nach Auslösung der Krawalle gestellt wird.

  11. Hallo Linus,
    Hallo Tim,
    vielen Dank für die regelmäßigen Folgen. Macht bitte weiter so.

    Ich habe eine Frage an alle. Bisher habe ich euren Podcast heruntergeladen und am heimischen PC gehört.
    Jetzt bin ich aber mehr unterwegs und suche ein Podcast Programm welches auf Windows und Android läuft. Zudem sollten sie sich synchronisieren. Am besten sogar den genauen Zeitstempel, wo ich gestoppt habe, damit ich am anderen Gerät weiter hören kann.
    Kennt jemand so eine Lösung? Egal ob freeware oder zum kaufen.

  12. Fedora, Arch Linux und Qubes (mit Updates über Tor) machen https Updates von Haus aus.
    Auch Debian, Ubuntu und Linux Mint kann man auf https umstellen.
    Hier ein Video mit ausführlicher Anleitung dazu: https://youtube.com/watch?v=YYF8jfE5xq0
    Hilft dann auch gegen zukünftige Fehler in apt wie https://www.heise.de/security/meldung/Pufferueberlauf-im-Debian-Paketmanager-Apt-2402367.html
    oder neulich https://justi.cz/security/2019/01/22/apt-rce.html
    Übrigens die Server der Charite bei Ubuntu helfen bestimmt auch gegen Verschwörungstheoretiker :o)

  13. Heho,
    Schubladen sind scheisse, aber Leute, die mit Straftaten prahlen, anzuzeigen finde ich gut.
    Ist mir egal wer, mit welchem Äußeren, politischem HIntergrund, wen mit welchem Äußeren, politischen Hintergrund anzeigt.
    Babo – Gelaber, so what ?
    Gwen

  14. PIMeyes

    Wollte meine Ex stalken und musste feststellen, dass die Bildquellen wohl überwiegend aus Osteuropa / Russland stammen. Vermutlich hauptsächlich aus dem russischen Facebook Clone vk.

    Der Kelch scheint für den Moment an uns Biodeutschen vorüber gegangen zu sein.

    Der Algorithmus findet aber schon sehr ähnliche Gesichter zu dem hochgeladnen Templates.

    Irgendwann kommt eine funktionierende Suchmaschine, ich glaube nicht, dass sich das aufhalten lassen wird. …. leider!

  15. Ich bin jetzt grad etwas unsicher inwiefern das mit den Providern und den Geheimdienst ein neues Problem ist.
    Ist nicht spätestens seid Snowden bekannt das man keinem Netz trauen sollte?
    Da wurden ja sogar die Kabel zwischen den Datencentern angezapft.

  16. Vielleicht solltet ihr nochmal rausstellen, was der Unterschied Papier zu digital ist:

    Bei Papier haben zwar viele Wirte, die das sammeln, sicherlich einen Blick drauf, aber der Missbrauch wäre nur lokal. Mir ist auch nicht so wohl, wenn ich in einem fremden Restaurant, gibt auch z.B. Mafia-Restaurants, meine Adresse abgeben soll und fälsche Eine. Bei der Datenbank wird es gleich um einige Dimensionen mehr Schaden am Datenschutz geben, wenn ein Missbrauch stattfindet, sobald Adressen aus einer ganzen Region gesammelt werden.

    Mich würde mal die Erfahrung der sogenannten “Containment scouts” interessieren wie brauchbar diese Informationen sind? Sicherlich gäbe es auch Informationen, wer sich kaum an die Verordnung hält, oder welche Klientel schön brav den Zettel wie gewollt ausfüllt und welche nicht.

    https://www.weser-kurier.de/bremen/bremen-stadt_artikel,-enge-grenzen-bei-datenerfassung-in-der-gastronomie-_arid,1914935.html

    Mein Eindruck ist, das Prozedere läuft derzeit doch in einer rechtlichen Grauzone und es soll einfach den Gastwirten nicht das Leben noch schwerer gemacht werden als es schon ist.

  17. Moin Linus & Tim,

    ich vermute mal, dass ich in der nächsten Folge auch auf NSU 2.0 und die Polizeiabfragen von personenbezogenen Daten eingeht. Dazu hätte ich ein Anliegen bzw. Frage, die ich bisher gar nicht in den Medien wiederfinde:

    Wie kann es eigentlich sein, dass man mit der Aussage “war zwar mein PC, aber ich war es nicht” so eifnach durchkommt?! – Jede Organisation hat doch individuelle Benutzerkonto für Zugriffe auf E-Mails, Datenbanken und Cloud-Systems. Wenn mit meinem Benutzerkonto eine Straftat/Ordnungswidrigkeit/usw. begangen wird, bin ich als Inhaber:in jenes Konto nicht zur Verantwortung zu ziehen? Reicht es wirklich aus, zu sagen: “Ich war es nicht” und einem wird geglaubt?

    Wie seht ihr das? – Wie ihr seht, ich finde das sich die relevanten Polizeibeamten (nach aktuellem Wissensstand) doch relativ leicht aus der Affäre ziehen können.

    Besten Dank, bester Netzpolitischer Podcast!

    Love aus Neukölln

  18. Eine Sicherheitsschwankung aus der selben Liga wie bei den Adresslisten für Restaurants gabs grad beim Niedersächsischen Kultusministerium:
    https://heise.de/-4844398
    Einfach nur “NutzerID=” in der URL ändern um auf die Daten anderer Leute zuzugreifen…

  19. PIMeyes:
    Eure Forderung, hier die europäische DSGVO endlich mal durchzusetzen, geht mir zu sehr am Problem vorbei. Dann gibt’s das gleiche Angebot demnächst eben aus einem fernen Land außerhalb der EU.
    Klar, man könnte dann versuchen, die Nutzung (mit fremden Bildern) innerhalb der EU zu verbieten. Heimlich wird es jedoch weiterhin geschehen.

    Könntet ihr nochmal erläutern, wieso genau dieses Vorgehen gegen die DSGVO verstößt? Weil die vorher gescannten Bilder zwar freiwillig, aber nicht zu diesem Zweck veröffentlicht wurden?

    • Hi Martino!
      Ich würde gerne mal antworten, auch wenn ich nicht angesprochen wurde.

      Zu deinem Punkt, ein Anbieter außerhalb der EU würde diese Dienstleistung bereitstellen, falls man es innerhalb der EU auf Grundlage der DSGVO verbietet:
      Dem kann ich nicht zustimmen. Der räumliche Anwendungsbereich (Art. 3 DSGVO) regelt, dass die DSGVO auch dann gilt, wenn die Verarbeitung der Date nicht innerhalb der EU erfolgt falls Menschen betroffen sind, die sich in der EU befinden und der Verarbeitende den Betroffenen Dienstleistungen anbietet. (Der einzige aus meiner Sicht strittige Punkt möge hier das Angebot der Dienstleistung sein. Den sehe ich aber erfülllt, wenn EU-Bürger die Plattform nutzen können)

      Zu der Frage, weshalb das Vorgehen gegen die DSGVO verstoße, hier meine Sicht auf die Dinge:
      Da ein Foto prinzipiell erstmal einer Person zugeordnet werden kann, handelt es sich um ein personenbezogenes Datum im Sinne der DSGVO. Wenn jemand ein Foto auf irgendeine Plattform hochlädt, die der DSGVO unterliegt, darf das Foto lediglich für die Zwecke verarbeitet werden, denen der Nutzer zugestimmt hat. Hier teilen sich zwei Pfade: Entweder die Plattform arbeitet mit PimEyes zusammen, dann muss das natürlich in der Datenschutzerklärung transparent dargestellt sein. Weiterhin hat dann natürlich auch jeder das Recht, die Zustimmung zur Verarbeitung jederzeit zu widerrufen. Für den Fall, dass die Plattform nicht mit PimEyes zusammenarbeitet und man nicht selbst der Verarbeitung der Bilder durch PimEyes zugestimmt hat, hat die Firma dann auch keine Grundlage, die Bilder zu verarbeiten. Und damit würde es sich um eine nicht-rechtmäßige Verarbeitung handeln, die durch Durchsetzung der DSGVO untersagt werden kann.

      (Alles nach bestem Wissen und Gewissen beschrieben. Für den Fall, dass jemandem ein Fehler auffällt, würde ich mich um Korrektur freuen.)

      • zum ersten Punkt: Wenn der Anbieter außerhalb der EU sitzt, wird das mit der Durchsetzung aber de facto unmöglich. (siehe Steueroasen) Ganz notfalls müsste der Service ins Darknet abwandern.
        Was ich sagen wollte: Diese Daten sind jetzt da, die Technik ist da und wir müssen damit umgehen. Das juristische Unterbinden wird uns nicht lange weiterhelfen.

        zur DSGVO: Heißt das, ich darf keine Bilder von Personen, die ich im Internet finde, mehr indizieren? (Zumindest nicht ohne explizite Zustimmung/Kooperation?) Was ist mit einfachem Text, d.h. Seiten, auf denen Namen stehen?
        Wie macht Google das? Darf ich Leute nicht mehr googlen? Muss Google von mir eine Checkbox verlangen, dass das wirklich mein Name ist, den ich gerade google?

        Was PIMeyes hier anbietet ist auf den ersten Blick eine einfache Suchmaschine, bei denen man keinen Text, sondern ein Bild eingibt. (Hat Google übrigens auch schon.)

        • Zum ersten Punkt:
          Da hast du wohl Recht. Wobei ich schon denke, dass der juristische Weg der einzig legitime und effektive ist. Der Datenschutz in Europa die sog, TOMs (technische und organisatorische Maßnahmen). Wenn man dieses Modell als Grundlage nimmt, hat man also drei Wege: akzeptieren, organisatorisch wehren und technisch wehren. Akzeptanz ist (hoffentlich) für die meisten Menschen keine alternative.
          Organisatorisch kann man sich entweder juristisch wehren oder private Maßnahmen treffen. Letzteres würde sich dann wohl darauf beschränken, keine Fotos in soziale Netzwerke zu laden.
          Die technischen Gegenmaßnahmen könnte man wieder in Offensiv und Defensiv gliedern, wobei sich offensiv wieder in offensiv-legal (staatlich) oder offensiv-illegal (aktivistisch) teilen lässt. Technisch-offensiv ist an der Stelle also schon mal ungeeignet, aus m.M.n. bekannten und offensichtlichen Gründen.
          Technisch-defensiv könnte man sich nur mit der Hilfe der sozialen Netzwerke wehren, wobei ein effektives Abwehren auch schwer bis kaum umzusetzen sein dürfte. Man müsste dazu immerhin sicherstellen, dass PimEyes zu keiner Zeit Zugriff auf die Bilder bekommt.

          Zur DSGVO:
          Dafür würde ich kurz auf den sachlichen Anwendungsbereich der DSGVO konsolidieren. Dort (Art. 2 Abs. 2 c)) ist geregelt, dass die DSGVO keine Anwendung findet, wenn du deine Tätigkeit ausschließlich im familiäreren oder privateb Rahmen ausübst. Mit dieser Grundlage würde ich dir als Person auch das Indizieren der Bilder gestatten.
          Die Google-Frage kann ich ab hier nur spekulativ beantworten: Technisch gesehen zeigt dir Google möglicherweise nur Teile und Ausschnitte aus anderen Websites und verbreitet (oder verarbeitet) die Daten damit selbst womöglich nicht. Für die Verarbeitung, die Google mit den Daten wirklich betreibt, wird man vermutlich vorfiltern, ob es sich dabei um personenbezogene Daten oder um andere Bilder (z.B. Gegenstände) handelt. Daher wirst du in Google Captchas auch nie sowas gefragt wie “Klicken Sie alle Teile des Bildes mit Schwarzweißfotos von Christian Lindner an”, obwohl sehr viele davon existieren. (Okay, Spaß wieder beiseite.)
          Wenn man trotzdem Bilder von Personen auf Google findet liegt das vermutlich daran, dass die Bilder gemeinsam mit Metadaten veröffentlicht wurden und somit keine Verarbeitung wie bei PimEyes notwendig ist.
          Googles Rolle verglichen mit der von PimEyes auf die Realität projeziert sehe ich ungefähr so: Ich lese heute Zeitung und sehe eine Foto mit Namen von jemandem aus meinem Ort. Wenn ich diese Zeitung mitnehme und jedem zeige, der mich danach fragt, ist das grundlegend in Ordnung.
          Wenn ich aber stattdessen (hier die Rolle von PimEyes) dieses Foto (und den Namen) nehme, einscanne und auf meine eigene Website hochlade, wäre das ohne die Zustimmung der Person nicht okay. (Annahme hierbei ist, dass “ich” eine Organisation bin und die DSGVO anwendbar ist)

          (Falls ich mich irgendwo vertan habe, bin ich auch hier wieder für Korrekturen dankbar.)

  20. CWA-Scammer:
    Als ich euren Beitrag gehört habe, dachte ich: Das ist aber etwas daneben, das schon unter “Scammer” zu sortieren, nur weil die App Geld kostet und Dinge tut, die man auch gratis haben kann. (Das gibt’s ja durchaus häufiger.)

    Ich habe mir nun die Eingendarstellung angesehen und muss euch vollkommen recht geben: Der Übergang von “erfahre, wer die Corona-App nutzt” zu “Kriminelle können das ausnutzen”, gemeinsam mit dem Unterton “wenn jemand in deiner Umgebung die App nutzt, bist du gefährdet” passt schon in das klassische Schwurbler-Muster.

    Und bei dem Hintergrund ist dann leider auch nicht auszuschließen, dass einige “Geisterfahrer” die “Warnungen” ihrer Späher-App zum Anlass nehmen, die identifizierten Nutzer anzugehen.

  21. Hallo Linus,
    zu Kapitel 11 bei 59:00 min meintest du, dass das schon am Mittwoch beschlossen werden soll. Wo soll das beschlossen werden? Der Bundestag ist doch in der Sommerpause und kommt erst wieder im September zusammen. Würde mich freuen, wenn du das spezifizierst, danke :)
    LG

  22. Ich hoffe das es hier nicht allzu unpassend ist, aber da die Corona Warn App auch in LNP schon öfter Thema war kommentiere ich das einfach mal hier.
    In älteren LNP Folgen und heute in diesem Tagesschaubericht (https://www.tagesschau.de/inland/corona-warn-app-111.html) spricht Linus von antiker IT in Laboren und Ämtern. Über die Gesundheitsämter möchte ich gar nicht diskutieren, auch wenn ich auch da die Probleme eher an anderer Stelle sehe.
    Bei den Laboren würde mich aber interessieren welche Einblicke du da hast. Ich habe in meiner Arbeit im Krankenhaus und bei dem was ich selbst in Laboren gesehen und von Laborärzten/Laborbetreibern gehört habe nie den Eindruck gewonnen das da irgendetwas antik sei, eher im Gegenteil. Elektronische Anbindung (Order Entry, Befunde) ist zB. seit Jahren möglich und was die Kliniken angeht auch absoluter Standard.
    Dem zufolge was die Labore selbst verlautbaren (https://www.alm-ev.de/files/site-files/Corona/Corona-Warn-App-Status-Laboranbindung-180620.pdf) oder in diesem Artikel (https://www.golem.de/news/qr-codes-erst-zwei-drittel-der-testlabore-an-corona-app-angeschlossen-2007-149656-2.html) liegt das Problem eher in der Komplexität der Laborinformationssysteme und der Vielzahl an (propiertären) Softwaresystemen/Schnittstellen die zum Einsatz kommen oder durch Dienstleister bereitgestellt werden. Auch scheint die Telekom nicht nur hilfreich zu sein.

    Da mir die Behauptung über die mangelhafte Digitalisierung/ antike IT der Labore schon in mehreren Podcasts die ich im weiteren Sinn dem Berliner CCC-Umfeld zurechnen würden begegnet ist, würde mich ehrlich interessieren worauf diese Einschätzung basiert.

    • Ähnliches gilt übrigens für die hier (https://www.heise.de/news/Ein-Monat-Corona-Warn-App-Bisher-bleibt-der-Effekt-aus-4846827.html) und im Twitter-Video von Linus getätigte Aussage, dass viele Infizierte über den Postweg informiert würden.
      Das überrascht mich doch sehr, weil es nach meinem Kenntnisstand völlig unüblich ist das ein Patient durch einen Brief (zuerst) von seiner Erkrankung erfährt, speziell im Kontext Covid19. In dem Umfeld das sehen kann wird der Patient für gewöhnlich von demjenigen der den Test beauftragt hatte, also meist Arzt oder Gesundheitsamt, telefonisch über das positive Ergebnis informiert. Meist an dem Tag an dem das Ergebnis vorliegt. Negative Ergebnisse werden oft nicht aktiv kommuniziert.
      Hier ist sicherlich eine Beschleunigung durch die App denkbar, gerade weil oft die Ergebnisse die das Labor am Nachmittag erzeugt oft erst am nächsten Tag durch Arzt/Gesundheitsamt gesehen und bearbeitet werden. Bei dem einmal täglichen Abruf durch die App würde ich mir da aber nicht zu viel versprechen.
      Nichtsdestotrotz halte ich genau diese Funktion für den interessantesten Teil der App, gerade weil sie so einen Mehrwert bieten kann, unabhängig davon ob die Bluetooth-Komponente wie erhofft funktioniert. Das ist ja ehrlicherweise noch völlig unklar. Gerade bezüglich negativer Ergebnisse (immerhin über 99% aktuell) kann hier Entlastung geschaffen werden.
      Mich würden nähere Infos zu diesem Postweg sehr interessieren.

  23. Zum Thema AMS in Österreich bzw. computergestützte Entscheidungen allgemein möchte ich noch ein Paper empfehlen.

    https://link.springer.com/article/10.1007/s11023-019-09513-7

    “the tendency of the human agent within a human–machine control loop to become complacent, over-reliant or unduly diffident when faced with the outputs of a reliable autonomous system.”

    “Somewhat alarmingly, it seems to afflict experts as much as novices, and is largely resistant to training”

    Mittlerweile versuchen uns, meist Innenminister, zu erklären, dass ja am Ende der biometrischen Überwachung nicht die Maschine entscheidet sondern ein Mensch! Das Paper zeigt: die Aussagen sind wenig wert und sollen nur beruhigen bis der Zeitpunkt passt, um alles zu Automatisieren. Also müssen wir so einen Mist vorher verhindern.

    Hier z.B. in Mannheim:
    https://www.heise.de/newsticker/meldung/Mannheim-testet-verhaltensbasierte-Videoueberwachung-4239279.html
    “Es entscheidet nicht die Maschine, es entscheidet der Mensch.”
    “Pionierarbeit made in Baden-Württemberg” LOL

    Findet man aber auch im Abschlussbericht zum Südkreuz:
    “Auch fehlerhafte Treffermeldungen (“false-positive Treffer”) des Systems können auf diese Weise durch Polizeivollzugsbeamtinnen und Polizeivollzugsbeamte korrigiert werden.” S.37

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.