Vorratsdatenspeicherung: Inhalte von SMS werden gespeichert

Heute entscheidet der Bundestag über die Wiedereinführung der Vorratsdatenspeicherung in der abgeänderten Form, nachdem die Vorratsdatenspeicherung durch das Bundesverfassungsgericht gekippt worden war.
Die Wiedereinführung ist sehr umstritten. Kritiker bemängeln zu Recht, dass ein Sicherheitsgewinn durch die Vorratsdatenspeicherung nicht gegeben sei, dafür aber massive Beeinträchtigungen der Persönlichkeitsrechte der Bürger damit einhergehen. Die Bundesregierung betont, dass sich die Vorratsdatenspeicherung nur auf die Verbindungsdaten, nicht aber auf die Kommunikationsinhalte beziehe. Diese würden nicht gespeichert. Trotzdem ist allein aufgrund der Meta-Daten ein umfassendes Profil über das Kommunikationsverhalten der Bürger möglich. Bei Mobilfunkgesprächen werden auch die Standortdaten gespeichert, sodass ein umfassendes Bewegungsprofil möglich ist.
Der heutige Bericht der Süddeutschen Zeitung dürfte die Kritiker weiter bestätigen. Die Zeitung berichtet, dass es derzeit nicht möglich sei, eine Speicherung der Meta-Daten der SMS ohne gleichzeitige Speicherung der Inhalte vorzunehmen. Der Inhalt einer SMS befinde sich in einer speziellen Container-Datei, der nicht aufgeteilt werden könne in Verbindungsdaten und Kommunikationsinhalt.
Dieser Umstand ist zwar technisch bedingt und hat nichts direkt mit der Vorratsdatenspeicherung zu tun. Bisher werden die Metadaten für SMS allerdings allein für Abrechnungszwecke für einen sehr kurzen Zeitraum, meist 7 Tage lang, gespeichert. Die Wiedereinführung der Vorratsdatenspeicherung würde dazu führen, dass diese Inhalte – und damit auch die Container-Datei mit dem gesamten Inhalt der SMS – zukünftig zehn Wochen lang gespeichert werden müssten.

 

Eine technische Möglichkeit, diese Daten zu trennen, haben die Provider nach dem Zeitungsbericht derzeit noch nicht.
Update 1: Der Bundestag hat heute die Vorratsdatenspeicherung beschlossen. 

Update 2: Die Mobilfunkprovider haben mittlerweile eine Stellungnahme abgegeben, in der sie der Speicherung von SMS-Inhalten widersprechen.

Geleakte Nackt-Fotos: Das Internet braucht bessere Authentifizierungsinstrumente

Die gehackten iCloud-Accounts einiger Prominenter haben für viel Aufsehen gesorgt. Weniges verletzt die Privatsphäre mehr, als wenn intime Fotos im Internet kursieren, die nicht für die Öffentlichkeit bestimmt waren.

Die ursprünglichen Vermutung, dass die Hacker die iCloud-Accounts durch Brute-Force-Attacken geknackt hätten, hat sich nicht bestätigt. Apple verneint einen entsprechenden Angriff über die Find-my-phone-Funktion. Stattdessen kamen die Hacker wohl über eine Phishing-Attacke oder über erratene Sicherheitsfragen an die Accounts.
Dies zeigt, wie fragil die Authentifizierungsmechanismen im Internet sind. Die gesamte Sicherheit und Online-Identität hängt von einem Passwort ab. Hier verwendet der bequeme Internetnutzer oft viel zu leichte Kennwörter und nicht selten dasselbe für mehrere Dienste. Dieses Passwort gibt der Nutzer auch viel zu leichtsinnig Preis, indem er etwa vermeintlich vom Betreiber des Dienstes stammende E-Mails öffnet und seine Zugangsdaten auf gefälschten Webseiten eingibt.
Die zweite Angriffsmöglichkeit bieten die Dienste, die noch Sicherheitsfragen für den Fall verwenden, dass sich der Nutzer nicht mehr an sein Passwort erinnert. Fragen wie “Name des Haustiers” oder “Mädchenname der Mutter” lassen sich in Zeiten des Internets und der sozialen Netzwerke teilweise leicht herausfinden, gerade bei Prominenten. Google etwa verwendet Sicherheitsfragen schon seit einiger Zeit nicht mehr, sondern bietet die Möglichkeit, die Kennwortwiederherstellung über SMS oder Telefon durchzuführen. Dies ist erfreulich und zeigt wieder einmal, dass Google in Fragen der Internetsicherheit Vorreiter ist, ähnlich wie bei den eingeführten Sicherheitsmerkmalen der Zwei-Faktor-Authentifizierung, durchgängigen SSL-Transportverschlüsselung, Perfect Forward Secrecy und der Sender Policy Framework.
Was also tun? Die Ergänzung des Passworts um einen jeweils individuell erstellten und nur zeitlich begrenzt gültigen Faktor wie bei der Zwei-Faktor-Authentifizierung ist gut und richtig. Leider kennen viele Nutzer diese Möglichkeit, die die Sicherheit erheblich erhöht, nicht oder sind zu bequem. Das Dilemma der zu einfachen, mehrfach verwendeten und nicht mehr merkbaren Passwörter wird dadurch nicht gelöst. Der Fingerabdruck taugt in der Paxis nicht, weil die Technik nicht zuverlässig und gegen Tricks geschützt ist und sich der Fingerabdruck im Fälle eines “Diebstahls” nicht ändern lässt. Die Lösung wäre die Authentifizierung mittels eines Zertifikats, das etwa auf dem neuen Personalausweis gespeichert ist. Diese Lösung funktioniert aber aus mehreren Gründen (noch) nicht: Es wäre eine rein nationale Lösung, mobile Geräte würden nicht (oder zumindest nur schwer) unterstützt und es würde die Betreiber einiges an Geld kosten, dies zu unterstützen. 
Die Sicherheit des gesamten Internet sollte aber Grund genug sein, diese Hürden zu überwinden.

Geleakte Nackt-Fotos: Warum die Schuld nicht wirklich bei Apple liegt

Nicht Apple trägt allein die Schuld dafür, dass mehrere Prominente Opfer eines Hacks wurden, bei dem sich die Täter Zugriff auf zahlreiche Fotos von den Promis verschafften, die diese zum Teil in äußerst intimen Momenten zeigen.
Zwar spricht viel dafür, dass die Fotos von Apples Cloudspeicherdienst iCloud stammten und dass die dort enthaltene FindMyPhone-Option nicht gegen Brute-Force-Attacken gesichert war, wie es eigentlich längst Standard sein sollte. Aber eine Brute-Force-Attacke ist auch nur dann erfolgreich, wenn die Promis einfache Passwörter verwendet haben, wie man sie in Worterbüchern findet. Dass man solche Passwörter oder einfache Variationen davon nicht verwenden sollte, ist kein Geheimnis einiger weniger Nerds, sondern hat sich nicht zuletzt infolge einiger jüngster berühmter Hacks herumgesprochen.
Der Schwachpunkt ist das Passwort. Man sollte ein kompliziertes Passwort verwenden, das man etwa aus den Anfangsbuchstaben eines sich selbst ausgedachten Satzes bildet. Verwendet man dann noch eine Zwei-Faktor-Authentifizierung – wie sie übrigens auch Apples iCloud anbietet, ist man vor solchen Angriffen schon sehr sicher.
Der Verzicht auf die Cloud ist keine Lösung. Denn die Cloud gehört längst zum digitalen Alltag, eine Vermeidung ist nur sehr schwer möglich. Und eine solche führt dazu, dass man wichtige Daten ganz verliert, wenn etwa das Smartphone gestohlen oder zerstört wird.
Die Anbieter stehen in der Pflicht unsere Daten zu schützen. Aber auch der Nutzer steht in der Pflicht, seine eigenen Daten zu schützen.
Update: Apple hat den Vorfall mittlerweile untersucht und kann nach eigenen Angaben eine Sicherheitslücke in iCloud ausschließen. Das heißt, die Hacker sind auf andere Weise an die Zugangsdaten der Promis gelangt, wo wir wieder bei zu einfachen Passwörtern wären. Möglich ist auch das Erraten von Sicherheitsfragen. Die dort abgefragten Daten lassen sich bei Promis zum Teil leicht herausfinden.