Archive for the ‘Privacy’ Category

Migros scannt Blogs und Facebook

Sunday, May 30th, 2010

Yves Demuth vom «Sonntag» berichtet über die neusten Aktivitäten der Migros im Web: Social Media-Monitoring ist angesagt beim Grossverteiler. Per Knopfdruck lassen sich mit der eingesetzten Überwachungs-Software Sysomos von Orange8 persönliche Daten von Bloggern abgreifen, die sie auf ihren Internetseiten preisgegeben haben.

Und natürlich lässt sich auch feststellen, wer in den letzten Monaten die meisten Einträge zur Migros geschrieben hat.

Offenbar greifen die orangen PR-Leute dann je nach Bedarf auch aktiv in die Blogosphäre ein. Zum Beispiel wenn die Firma des «Sozialen Kapitals» mal wieder wegen Entlassungen ins Gerede kommt.

Nein, es geht nicht um die peinlichen Rausschmisse wegen «Mundraubs», die der «Blick» publik machte. Demuth erwähnt aber einen frappant ähnlichen Fall:

Momentan sind drei Personen der Abteilung für die Überwachung des Internets zuständig: Das Monitoring-Team meldet täglich ein bis zwei Blog-, Twitter- oder Facebook-Einträge der Migros-Kommunikationsabteilung, welche dann je nach Fall auf die Einträge reagiert. Vor einigen Tagen verteidigte Urs Peter Naef die Migros etwa, als der Blog «Journalistenschredder» berichtete, die Migros habe eine Kassiererin nur deshalb entlassen, weil sie die Cumulus-Punkte eines Kunden auf die eigene Karte geladen habe: «In der Migros wird niemand entlassen, ohne vorher verwarnt worden zu sein.»

Bund will im Internet mehr überwachen

Tuesday, May 25th, 2010

Christian Bütikofer

Schweizer Internetprovider sollen Kundendaten intensiver überwachen. Dies, obwohl einige Provider alten Vorgaben nicht genügen: Der Bund hat die nötigen Tests nach Jahren noch immer nicht durchgeführt.

Der Bundesrat plant, das Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs zu erweitern. Bis Anfang September können sich die betroffenen Parteien dazu äussern.

Die Kernpunkte: Internetprovider wie Swisscom oder Cablecom müssten gewisse Kundendaten doppelt so lange speichern – von heute sechs Monaten sollen die Daten ein Jahr lang zur Verfügung stehen. Zudem plant der Bund, die entsprechenden Kosten vollständig den Providern zu belasten.

Swisscom: Zweistelliger Millionenbetrag

Das passt vielen Providern nicht. Swisscom-Pressechef Sepp Huber weist darauf hin, dass derzeit bereits sehr aufwendige Überwachungsmassnahmen stattfinden. Sie verursachten Swisscom hohe Investitionen.

Huber meint gegenüber der BaZ, dass Swisscom dafür in den letzten zwei Jahren einen zweistelligen Millionenbetrag aufwenden musste. Zudem deckten schon heute die Entschädigungen des Bundes die Kosten nicht, die der Swisscom durch die teuren Überwachungen entstehen, sagt Huber.

Fallen die Entschädigungen weg, wird es für die Provider noch teurer. Cablecom-Mediensprecherin Deborah Bucher rechnet mit Zusatzkosten im sechsstelligen Bereich, sollte Cablecom in Zukunft alle Kosten selbst tragen müssen.

Keine Zahlen für gescheiterte Ermittlungen

Der Bund will Provider auch dazu verpflichten, Daten ihrer Kunden länger zu speichern. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) begründet die Verdoppelung der Datenspeicherung damit, dass zum Zeitpunkt von Ermittlungen die nötigen Daten oft schon gelöscht seien.

EJPD-Informationschefin Brigitte Hauser-Süess meint: «Es gibt auch international gesehen ein Bedürfnis vonseiten der Strafverfolgungsbehörden, länger als sechs Monate auf sogenannte Verkehrsdaten zurückgreifen zu können.»

Die Frage, wie viele Ermittlungen in den letzten Jahren verunmöglicht oder behindert wurden, weil die Aufbewahrungsfrist nur sechs Monate betrug, konnte Hauser-Süess nicht beantworten.

Alte Vorgaben noch immer nicht umgesetzt

Die Internetüberwachung ist technisch aufwendig. Damit die Daten vor Gericht auch verwertet werden können, müssen sie diversen Standards genügen. Jeder Schweizer Provider muss sie einhalten, kann dies aber nur in Zusammenarbeit mit dem EJPD.

Recherchen zeigen: Das Justizdepartement hat bis heute nicht bei allen Schweizer Providern die dazu nötigen Abklärungen und Tests durchgeführt. Entsprechende Vorgaben bestehen seit zehn Jahren, sie wurden 2002 eingeführt.

Swisscom könne die alten Vorgaben erfüllen, meint Pressechef Huber. Aber: «Bei den künftigen Anforderungen gibt es noch Unklarheiten.» Cablecom-Sprecherin Bucher sagt, man erfülle die Vorschriften «im Wesentlichen».

© Basler Zeitung; 25.05.2010 / © Aargauer Zeitung / MLZ; 25.05.2010 / Aargauer Zeitung Online; 25.05.2010

Mit Google News kostenpflichtiges Angebot ausgetrickst

Monday, May 24th, 2010

Die Berliner Morgenpost macht einen auf Schmalspurinhalte-im-Internet: Viele Artikel werden nur häppchenweise online geschaltet.

Das ist schade – auch um jenen Artikel, wo eine Journalistin mit dem obersten Spion Deutschlands auf die Pirsch geht.

Oberschlapphut Ernst Uhrlau, Präsident des Bundesnachrichtendienstes (BND) kommt mit der Journalistin ins Plaudern. So äussert sich  Uhrlau beim Rundgang um den Schlachtensee etwa zum Web und Wikileaks:

WikiLeaks zum Beispiel ist eine Seite, auf der immer wieder als geheim eingestufte Dokumente veröffentlicht werden. Wer sie einstellt und wo die Server stehen, ist unbekannt. Der BND wollte die Verbreitung eines Dossiers juristisch verbieten lassen. Seitens WikiLeak wurde daraufhin die Frage gestellt, auf welches Gesetz in welchem Staat man sich denn berufe. Der BND musste sich, wie andere Geheimdienste auch, vorerst geschlagen geben. “Eine verflixt ärgerliche Angelegenheit”, findet Uhrlau.

Im Web sollte man davon nach dem Lead gerade mal magere vier Zeilen gratis lesen können. Dank Google News kann man die Reportage trotz Kostenpflicht ganz lesen. Die Google-Wühlmäuse haben den Direktlink gefunden. Die Webmaster der Berliner Morgenpost sind offenbar nicht fähig, ihre geschlossene Zeitung richtig abzudichten.

Wie Facebook Privacy-Optionen versteckt

Monday, May 17th, 2010

Die New York Times hat eine *kleine* Infografik erstellt, wie man sein Facebook-Profil abdichtet.

Die Facebook-Macher verstehen es, ein paar Klicks in x verschiedenen Rubriken zu verstecken.

Absichtliche Usability gegen den Kunden, sage ich schon lange.

Bei Schweizer Grossbanken UBS und Credit Suisse surft Google mit

Monday, December 7th, 2009
Mehrere Schweizer Banken empfangen E-Mails über eine Google-Tochter. Sicherheitsexperten sind erstaunt, dass ausgerechnet Grossbanken einen so sensiblen Bereich ausser Haus geben.

Von Christian Bütikofer
Wer Kunde von UBS, Credit Suisse oder Vontobel ist und seiner Hausbank eine E-Mail schickt, dessen Post wird zuerst mit einem Code der US-Firma Postini geprüft, bevor sie beim Schweizer Banker landet. Postini checkt, ob es sich dabei um Spam handelt.

Spam ist nicht nur für jeden Privatnutzer eine Plage. Für Firmen ist das auch ein Kostenfaktor und ein Sicherheitsrisiko. Firmen, die dazu eine effektive Lösung anbieten, waren lange sehr gesucht.

Postini aus Kalifornien hatte eine und wurde bald zum Star am Anti-Spam-Himmel. 1999 in Kalifornien gegründet, machte die Firma schon nach wenigen Jahren Gewinn; in Europa war sie aber lange unbekannt. Ende 2005 gründete Postini in der Schweiz eine Niederlassung und verkündete, man hätte jetzt in Genf und Zürich zwei Datacenter eröffnet. Die Amerikaner hatten zwei Schweizer Banken als Kunden an Land gezogen. 2007 schluckte Datenriese Google die Spambekämpfer für 625 Millionen Dollar. Durch die Übernahme wurden Schweizer Banken unversehens zu Kunden von Google.

Dass ausgerechnet die zwei grössten Schweizer Banken mit ihrem eigenen teuren IT-Wissen einen sicherheitsrelevanten Dienst wie die Spam-Bekämpfung ausser Haus geben und sich damit letztlich in die Hände von Google begeben, irritiert Sicherheitsexperten.

Auslagerung bedroht Sicherheit

Darunter sind solche, die für Schweizer Banken regelmässig sogenannte Audits durchführen, also Sicherheitstests, wo auch Hackerangriffe simuliert werden. Marc Ruef von der Zürcher Firma Scip sagt, dass er nur schon wegen Sicherheitsbedenken jeder Schweizer Bank raten würde, keine solchen Dienste auszulagern. Er weiss warum: Einige Banken sind spätestens seit dem Skandal der LGT aus Liechtenstein sensibilisiert. Dort hatte ein langjähriger LGT-Mitarbeiter Tausende von Kundendaten deutschen Behörden verkauft. Damit brachte er die Bank in enorme Schwierigkeiten und nahm letztlich die aktuelle Diskussion über Steuerbetrüger vorweg.

Ruef erinnert sich: «Als der LGT-Fall bekannt wurde, hatten wir einen Zürcher Bankkunden. Der dortige IT-Chef fragte sich darauf, ob ein Fall wie LGT auch bei ihm möglich sei. Er kam zum Schluss: Durchaus, und falls er das Outsourcing verwirklicht hätte, würde er womöglich nicht einmal etwas davon bemerken.» Diese Bank sei damals voll im Outsourcing-Prozess gestanden. Sie habe deshalb interne IT-Spezialisten entlassen. «Noch während des Outsourcing-Prozesses haben die das alles wieder rückgängig gemacht.»

Ruef ist kein strikter Gegner von Outsourcing, aber: «CS und UBS sind keine Kleinfirmen. Für ein KMU extra einen eigenen Server zu betreiben, das macht eher weniger Sinn. Bei einer Grossbank liegt der Fall jedoch ganz anders.»

Neben den Sicherheitsaspekten gibt es noch ein weiteres Thema: Wie sieht die Sache juristisch aus? Was passiert, wenn US-Behörden den E-Mail-Verkehr von Schweizer Banken überwachen möchten? Machen sich Schweizer Banken erpressbar, zum Beispiel, wenn die US-Steuerbehörde bei Google anklopft und den E-Mail-Verkehr überwachen möchte? Sind die Kunden dann sicher, bloss weil die Schweizer Banken bei einem rechtlich autonomen Google-Ableger in der Schweiz Kunden sind?

Vorbehalte auch bei Blackberry

Der TA fragte ausgewiesene Kenner um ihre Einschätzung. Ein Pionier im Internetrecht einer renommierten Zürcher Rechtsanwaltskanzlei gab dem TA ausführlich Antwort. Er will aus Befangenheit anonym bleiben, denn er beriet Schweizer Firmen bei Verträgen mit Postini. Der Anwalt hat die Verträge für seine Klienten geprüft und sagt: «Rechtlich ist bei Postini alles in Ordnung.» Die Verträge seien sauber, dafür könne er garantieren.

Was aber passieren könnte, wenn massiver Druck auf Google USA ausgeübt werde, sei schwierig zu beurteilen, die Unsicherheit sei da. Darum wollten etliche international tätige Schweizer Unternehmen keine Kunden von RIM sein, der Firma, die die Blackberry-Handys herstellt.

Der Grund: Letztlich sei das eine Firma aus Nordamerika, die Datenübermittlungen liefen über Nordamerika. Die Firmen befürchten, die Kontrolle über die eigene Firmenkorrespondenz zu verlieren.

Riesiger Kostendruck

Die Banken stehen unter einem enormen Kostendruck. Was nicht zum Kerngeschäft gehört, wird an spezialisierte Firmen im Bankensektor ausgelagert. Selbst einer dieser Outsourcer nimmt Google in Anspruch: die Incore Bank aus Zürich. Sie gehört zur Holding der Privatbank Maerki Baumann. Auch diese ist Kunde von Googles Spamfilter.

Die Schweizer Incore ist rechtlich eigenständig und unterstützt andere Banken bei internen Prozessen bis hin zur Hacker-Abwehr im Web. Als Incore-Chef Jack Hertach vom Google-Spam-Filter bei UBS, Crédit Suisse und Vontobel erfuhr, konnte er das erst nicht glauben: «Das ist mir absolut rätselhaft.»

Auch IT-Sicherheitschef Peter Stalder von Finnova in Lenzburg sagte auf Anfrage: «Ich bin überrascht, dass das eine Bank macht. Ich hätte ein mulmiges Gefühl.» Die Finnova unterstützt diverse mittlere Schweizer Banken im Outsourcing, darunter auch diverse Kantonalbanken.

Banken sehen keine Probleme

Auf Anfrage des TA gaben Sprecher von UBS, CS und Vontobel praktisch immer die gleiche Antwort: Die Banken sehen kein Problem. Eine dieser Banken wollte nicht einmal bestätigen, dass sie Kunde von Google ist – wegen «Sicherheitsüberlegungen».

Auch bei Google gibt man sich wortkarg. Im Detail wolle man sich nicht zu den Banken äussern, weil man sonst Vertragsverletzungen begehe, meint ein leitender Google-Angestellter aus Deutschland. Er verweist auf die zufriedenen Kunden weltweit. Als Referenz-Firma gibt er den deutschen Chemieriesen BASF an. Auf die Frage, ob in der Schweiz tatsächlich Angestellte vor Ort die Postini-Dienste unterstützen würden, oder ob das zentral aus den USA geschehe, wie der Bericht «Googles take on e-mail security» des Branchendienstes Cnet.com vom Juli 2009 nahelegt, sagt er: «Der Support findet lokal statt.»

Google-Schweiz-Sprecher Matthias Meyer bestätigte, dass in Zürich knapp 500 Personen beschäftigt seien. Wie viele für die Postini-Dienste zuständig sind, konnte er nicht sagen.

© Tages-Anzeiger; 07.12.2009

Weitere geheime Pläne für Web-Kontrolle

Saturday, July 18th, 2009

Beim Surfen und Telefonieren im Web will der Bund dabei sein. Weitere Eingriffe sind geplant, obwohl alte Vorgaben für weniger aufwendige Massnahmen nur mangelhaft umgesetzt wurden.

Christian Bütikofer

Das Justiz- und Polizeidepartement (EJPD) plant die vollständige Überwachung der Internetnutzung von in Strafverfahren verdächtigten Leuten. Dies machte die «Wochenzeitung» am Donnerstag publik und veröffentlichte «vertrauliche» Dokumente. Ab diesem August müssen sich gemäss der neuen Richtlinie alle Internetprovider technisch aufrüsten und vom Bund zertifiziert werden – Zeit bleibt ihnen dafür bis Ende Juli 2010.

Für die kommende Echtzeitüberwachung des Internetverkehrs werden die Kosten hauptsächlich den Providern aufgebürdet. «Dazu sind kleine Unternehmen finanziell gar nicht in der Lage», sagt Fredy Künzler, Chef des Internetproviders Init7. Er kritisiert die kurze Anhörungsfrist von bloss drei Wochen, die Geheimnistuerei und meint zudem: «Abhörversuche sind durch Verschlüsselung der Daten sehr einfach zu umgehen.»

Guido Balmer, Sprecher des EJPD, begründet die Vertraulichkeit des Dokuments: «Der Inhalt war im Interesse der Strafverfolgungsbehörden nicht für die Öffentlichkeit bestimmt», denn es würden im Dokument auch prozessuale und technische Informationen erwähnt. Zudem habe die neue Richtlinie einen langen Vorlauf gehabt. Das sei nichts Spezielles. Die Anhörung der Provider stelle sozusagen den Zieleinlauf dar.

Was heisst «Echtzeitüberwachung» konkret? Dem TA ist ein Fall beim Provider Sunrise bekannt. Aufgrund eines richterlichen Beschlusses musste die Firma einem Kunden statt eines normalen DNS-Servers einen zuweisen, der direkt von Bundesbeamten überwacht wurde. Ohne DNS-Server ist niemand in der Lage, Websites aufzusuchen.

Fortan konnten die Beamten die Aktivitäten des Verdächtigen mitverfolgen. Die Informationsperson aus dem Umfeld von Sunrise bezweifelt, dass neue Richtlinien solche Aktionen einfacher machten: «Für jeden Einzelfall ist das sehr aufwendig.»

Laut Guido Balmer sind Echtzeitüberwachungen heute sehr aufwendig, weil man mit jedem Provider einzeln eine Lösung finden müsse. Deshalb soll nun die Richtlinie hier eine bessere Handhabe schaffen.

Überlastete Überwacher

Ob eine neue Richtlinie strukturelle Probleme löst, ist fraglich. Denn bisher hat das EJPD noch immer Probleme, bereits seit Jahren bestehende Vorgaben zur Überwachung von Internetaktivitäten in die Tat umzusetzen.

So berichtet ein Insider der Provider-Szene: «Bis heute sind einige Internetprovider noch nicht einmal in der Lage, die E-Mail-Header zu speichern, weil das EJPD die dazu notwendigen Implementationen und Tests noch gar nicht durchgeführt hat.» E-Mail-Header sind Angaben, aus denen man sieht, über welche PCs im Web die Mails verschickt werden.

Seit 2003 müssten alle Provider solche Daten für eine gewisse Zeit sichern. Guido Balmer bestätigt, dass hier ein Problem bestehe. Die Leute vom EJPD seien aber bemüht, zusammen mit den Providern diese Prozesse zu «optimieren».

Handys werden separat behandelt

In der bekannt gewordenen neuen Richtlinie fehlt UMTS. Durch UMTS kommunizieren wir heute übers Handy, laden Programme aufs iPhone herunter. Immer mehr Leute benutzen Abos bei Swisscom, Orange und Sunrise, um damit mit ihren Laptops im Web zu surfen.

Warum also fehlt diese Technologie? Balmer bestätigt, dass UMTS in der vorliegenden Richtlinie nicht erwähnt wird. Diese Richtlinie sei aber nicht die einzige und nicht die letzte. Näher wollte er darauf nicht eingehen. Die bekannt gewordenen «vertraulichen» Dokumente sind demnach nicht die einzigen geheimen Massnahmen zur Internet-Überwachung in der Schweiz.

© Tages-Anzeiger; 18.07.2009