Weitere Details zum Staatstrojaner 0zapftis(R2D2) – Update: BKA nutzt Trojaner ebenfalls.

Nach und nach kommen weitere Details zum Staatstrojaner/Bundestrojaner ans Tageslicht und immer mehr zeigt sich das Ausmaß und der Umfang, in dem diese Malware bereits eingesetzt wurde. Immer mehr Bundesländer müssen eingestehen, den Trojaner zu Überwachunsgzwecken eingesetzt zu haben. Eine sehr gute Übersicht hierzu liefert 0zapfis.info, die aus verschiedenen Quellen entsprechende Meldungen zusammentragen. Die folgende Grafik von 0zapftis.info zeigt das sehr anschaulich. Schwarz sind all die Bundesländer, die eine Nutzung bereits eingestanden haben.

Interessant ist zudem, dass F-Secure (und andere Hersteller von Antiviruslösungen) den Installer des Trojaners bereits seit mindestens Dezember 2010 kennt, offenbar wurde dieser auf Virustotal hoch geladen. Möglich, dass hier jemand so „kompetent“ war und prüfen wollte, ob das Stück Malware, welches mit dem Installer untergejubelt werden soll, von Virenscannern erkannt wird. Der Installer verseucht den Rechner exakt mit den Dateien, die der CCC untersucht hat und lag als scuinst.exe vor. SCU steht für Skype Capture Unit und dabei handelt es sich um ein Stück Software, welches von DigiTask entwickelt wurde. Der Kreis ist also geschlossen, diese Informationen liegen bereits seit 2008 vor.

F-Secure bezeichnet 0zapftis intern als Backdoor:W32/R2D2.A, sie verweisen darüber hinaus auf ein Dokument, nach dem das Zollkriminalamt Köln die Malware 2009 bei DigiTaks bestellt hat, das Auftragsvolumen betrug über 2 Millionen Euro.

DigiTask hingegen scheint nun nicht zu bestreiten, die Malware geliefert zu haben, wehrt sich allerdings gegen den Vorwurf der Inkompetenz. Zitat:

„Die Software wurde vor fast drei Jahren geliefert – das sind in der IT-Branche Lichtjahre. Es ist durchaus möglich, dass im November 2008 gelieferte Software heute nicht mehr den Sicherheitsanforderungen entspricht.“

Für mich persönlich reißt die Aussage in der Kompetenzfrage allerdings eher ein weiteres großes Loch auf. Denn wie wir alle wissen sind Lichtjahre keinesfalls geeignet, einen Zeitabschnitt zu beschreiben, es ist ein Längenmaß. Aber das nur nebenbei…

All diese Punkte erhellen die Affäre um den Staatstrojaner in jedem Fall, allmählich zeigt sich mir, wie konsequent inkompetent und vor allem offensichtlich rechtswidrig hier insgesamt vorgegangen wurde, letzteres ist ja bereits gerichtlich bestätigt. Es ist für mich auch keine Ausrede, dass nur das Vorhandensein bestimmter Funktionen nicht automatisch den Einsatz der Malware rechtswidrig machen würde. Das Vorhandensein eines internetfähigen PCs in meinem Haushalt ist ja auch ausreichend, um die Eintreibung von GEZ-Gebühren zu rechtfertigen, ob ich nun einen Internetanschluß habe oder nicht. Sicherlich nicht das beste Beispiel, aber es zeigt deutlich, was ich meine. Funktionen, deren Einsatz illegal wäre, dürfen in einem solchen Tool schlichtweg nicht enthalten sein. Zumal die Steuerung offensichtlich problemlos einen Zugriff auf die Funktionen erlaubt. Ich kann mir keinen Ermittler vorstellen der nicht der Versuchung erliegen würde, auch mal auf den Button „Festplatteninhalte anzeigen“ zu klicken. Das schaffen nicht mal die Ermittler in irgendwelchen Fernsehserien…

Ich hoffe das Thema verschwindet nicht so schnell wieder vom Tisch sondern wird schön weiter geköchelt. Hier muss es in jedem Fall personelle Konsequenzen geben, die weit über das eine oder andere Bauernopfer hinaus gehen. Aber die Aussichten sind recht gut, dass hier weiterhin viele am Ball bleiben und die Affäre restlos aufklären.

Übrigens glaube ich nicht einmal ansatzweise, dass Deutschland das einzige Land ist, welches derartige Werkzeuge einsetzt. Ich denke lediglich, dass es hier bei uns zum ersten Mal aufgefallen ist. Was eben auch auf andere Weise auch wieder für Inkompetenz spricht. Und auf eine gewisse Weise bin ich wirklich froh, dass die Verantwortlichen nicht mehr Kompetenz vorweisen können…

Nachtrag: Laut Aussagen auf der Bundespressekonferenz heute soll der Auftrag des Zollkriminalamts Köln aus 2009 herkömmliche Überwachungstechnik betreffen und nichts mit dem Trojaner zu tun haben.

Nachtrag 2: Die Karte oben kann nun komplett schwarz gefärbt werden. Inzwischen hat das Bundesinnenministerium sein Dementi vom Montag zurück gezogen und eingestanden, eine modifizierte Version des Trojaners im Einsatz zu haben. Wahrscheinlich wurde da der Dateiname geändert. Mehr dazu hat die FAZ. Man kann nun wohl sagen: Beim Bundesinnenministerium wurde zunächst erst einmal gelogen und dann heute, als es nicht mehr anders ging, dann doch die Lüge korrigiert. So zumindest würde ich meinen Sohn tadeln, wenn er so agieren würde.

Tags: , , , , , , , ,

2 Klicks für mehr Datenschutz als WordPress Plugin (Update)

(Updateinformationen werden am Ende des Artikels eingefügt, 12 Updates)

Heise hat eine meiner Meinung nach hervorragende Aktion mit dem Namen „2 Klicks für mehr Datenschutz“ gestartet, um die beliebten Social-Buttons von Google, Facebook und Twitter datenschutzkonform in Webseiten einzubinden. Wer sich darüber etwas umfangreicher informieren möchte, macht das am Besten direkt auf der Seite des Heise Verlages.

Heute nun hat Heise den Code für ein JQuery-Plugin unter der MIT License (http://www.opensource.org/licenses/mit-license.php) veröffentlicht, was mich nun wiederum dazu angeregt hat, schnell mal ein Plugin für WordPress zusammen zu hacken, welches diese Funktion in WordPress einbindet. Wie das am Ende aussieht, kann man ab sofort sehr gut unterhalb meiner Beiträge sehen.

Das Plugin ist noch eine recht simple Version, wahrscheinlich werde ich in den nächsten Tagen an der einen oder anderen Stelle noch ein wenig basteln. Aber es funktioniert und erleichtert all jenen die Einbindung, die sich eben nicht sonderlich gut mit dem Bearbeiten von Templates auskennen.

Die Installation ist ziemlich simpel:

  • Plugin herunterladen
  • Datei entpacken und den Ordner xsd_wp_socialshareprivacy komplett in das Verzeichnis „wp-content/plugins“ hoch laden
  • Plugin in der Admin-Oberfläche aktivieren
  • Facebook App-ID besorgen und unter „Einstellungen/XSD socialshareprivacy“ in Eurer Admin Oberfläche eintragen (die Beschreibung, wie Ihr die App-ID erhaltet findet Ihr dort ebenfalls)

Das war auch schon alles. Die Buttons werden jeweils unterhalb der Beiträge in der Einzelansicht angezeigt. Wichtig ist, dass ohne eine Facebook App-ID der Facebook-Button nicht angezeigt wird.

Wie man sieht ist dieser Beitrag hier recht flott herunter geschrieben, wahrscheinlich ist an der Einen oder andere Stelle noch eine Frage offen. Fragt einfach nach, ich ergänze dann diesen Beitrag im Bedarfsfall, heute Abend habe ich etwas mehr Zeit als im Augenblick 😉 Ich werde auch schauen, dass ich das Plugin kurzfristig auf der WordPress-Seite zur Verfügung stellen kann, was natürlich Installation und Updates enorm vereinfachen wird.

Sollten Probleme mit dem Plugin auftauchen dann bitte einen Hinweis in den Kommentaren hinterlassen.

Update 08.09.11: Ich habe dem Plugin noch ein paar Verbesserungen gegönnt und ein paar Schönheitsfehler entfernt, die sich gestern beim herunterhacken eingeschlichen haben.

Die Änderungen im Detail:

  • Das Script wird nun minified eingebunden, spart doch eine Menge Downloadzeit
  • Infotexte für die Mouseover sind in der Admin-Oberfläche frei konfigurierbar. Per default werden die Original-Texte von heise angezeigt, wer hier andere Informationen sehen möchte, kann diese Texte nun anpassen.
  • Menüeintrag unter „Einstellungen“ heißt nun „XSD socialshareprivacy“
  • Plugin ist nun im WordPress Plugin Directory unter dem Namen XSD socialshareprivacy gelistet. Updates ab sofort dann über wordpress.org

Update 09.09.11: Die letzte Version (0.6.2) ist bereits im Plugin Directory verfügbar. Wer am ersten Tag die Version installiert hatte, die ich hier zum Download bereit gestellt hatte, deinstalliert diese am besten und installiert von dort neu, somit erhaltet Ihr dann auch regelmäßig die Updates und müsst nicht mehr selbst nachschauen.

Die letzten Änderungen betreffen in erster Linie den Code, ich habe ein wenig aufgeräumt und aus dem Quick and Dirty Code nun so langsam eine etwas elegantere Lösung gestrickt. Die Parameter werden nun nicht mehr im Header übergeben sondern auf „anständige“ Weise. Ich überlege, ob ich sämtliche Optionen des JQuery-Plugins von heise in die Admin-Oberfläche einbinden soll, so ganz bin ich mit mir da noch nicht im Reinen. Würde die Administration wieder recht unübersichtlich machen wie ich finde, aber falls der Bedarf da sein sollte, kann ich mich sicherlich breit schlagen lassen… 😉

Update 11.09.11: Version 0.6.3 beseitigt einen kleinen Schönheitsfehler im JQuery-Plugin von heise. Der iframe für Twitter war zu groß, wodurch er den Bereich unterhalb der Buttons unsichtbar überlagerte und Links z.T. unklickbar machte. Dieser Fehler wurde entfernt.

Update 15.09.11: Soeben Version 0.6.4 eingecheckt, müsste im Laufe des Tages dann als Update angezeigt werden. Die Version beseitigt einen kleinen Anzeigefehler in manchen Templates, bei dem die Buttons für Twitter und Google+ in die nächste Zeile rutschen (siehe Kommentare unter diesem Beitrag).

Update 25.09.11: Version 0.6.5 bei WordPress.org hochgeladen. Nun kann auch der beim hovern von i angezeigte Infotext bearbeitet werden, wie in den Kommentaren gewünscht wurde.

Update 25.09.11 #2: Schwupps – und schon bei Version 0.6.7 (sollte bald via Update-Funktion in WordPress verfügbar sein). heise hat eine neue Version seines JQuery-Plugins bereit gestellt (Changelog), diese ist nun implementiert. Die neuen Optionen werde ich in den nächsten Tagen in die Admin-Oberfläche meines Plugins integrieren.

Update 25.09.11 #3: Version 0.6.9.1 ist nun aktuell. Das Admin-Backend wurde etwas aufgeräumt in Vorbereitung für die Erweiterung der Optionen. .1 am Ende, weil ich noch flott einen Bug beseitigt habe, der mir zu spät aufgefallen ist.

Update 27.09.11: Soeben Version 0.7 eingecheckt, Update sicherlich in Kürze für alle verfügbar. Beschreibung der Optionen nun änderbar, außerdem habe ich den Hinweis auf mich als Plugin-Entwickler wieder aus der Infobubble entfernt… zu aufdringlich.

Update 04.10.11: Version 0.7.1 steht nun zum Download zur Verfügung und wird wie gewohnt in Kürze über die Updatefunktion ausgeliefert. Ab dieser Version verwende ich wieder eine neue Version des JQuery-Plugins (aktuell 1.2). Für den Facebook-Button ist nun keine App-ID mehr erforderlich, daher wurden die Hinweistexte und die Funktionen rund um die App-ID aus meinem Code entfernt.

Update 06.10.11: Version 0.7.2 sollte nun allen via Updatefunktion zur Verfügung stehen. Neu ist die Möglichkeit, das Plugin auch für Seiten zu aktivieren, dafür gibt es in den Einstellungen nun einen neuen Eintrag. Aber bitte beachten: Bei der Verwendung von Caching-Plugins (z.B. W3TotalCache) kann es nach dem Umschalten dieser Option (aktivieren/deaktivieren) zum Teil lange dauern, bis die Änderung auf den Seiten Wirkung zeigt. Und übrigens: Über ein paar Bewertungen auf der Pluginseite würde ich mich echt freuen 😉

Update 08.10.11: Schon wieder eine neue Version, wieder neue Features. 0.7.3 erlaubt es nun, jeden Button nach Belieben zu de-/aktivieren. Wer also keinen Facebook-Button anzeigen mag, kann diesen nun ausblenden. Darüber hinaus ist es nun auch möglich zu bestimmen, ob die Buttons vor oder nach dem Text angezeigt werden sollen. Ich persönlich bevorzuge immer die Position am Ende des Beitrags, andere mögen das aber anders sehen. Ihr könnt das nun wählen.

Update 08.10.11: Die Mehrsprachigkeit ist fertig, das Plugin kommt in Version 0.8 nun mit deutscher und englischer Oberfläche. Noch nicht übersetzt sind die Infotexte, die werden zunächst noch in Deutsch angezeigt, daran arbeite ich noch.

Tags: , , , , ,

Landesdatenschützer fordern WebSite-Betreiber zum Entfernen der Social-Buttons auf (Update)

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein fordert alle WebSite-Betreiber auf, umgehend Facebook-Fanseiten sowie Social-Buttons wie beispielsweise den „Gefällt mir“ Button von Facebook aus ihren Webseiten zu entfernen.

„Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.“

Das ULD fährt also richtig scharfe Geschütze auf, auch wenn man sich derzeit vordergründig an WebSite-Betreiber in Schleswig-Holstein wendet. Genau genommen dürfte diese Aussage auch nicht allein für Facebook gelten, auch der „+1“-Button von Google wäre hiervon betroffen und diverse andere Social-Dienste sicher auch. Besonders krass finde ich, dass man nicht allein auf die Buttons abzielt sondern auch ganz klar Fanpages bei Facebook anspricht.

Ich finde immer wieder erstaunlich, mit welcher Schärfe Landesdatenschützer gegen derartige Dinge vorgehen und wie vergleichsweise harmlos die Äußerungen beispielsweise gegen das SWIFT-Abkommen oder das Fluggastdaten-Abkommen ausfallen, die weitaus tiefer in die Persönlichkeitsrechte jedes Einzelnen eingreifen als eine lächerliche Facebook-Fanseite. Ich wünschte, das ULD würde sich vorrangig um wirklich wichtige Dinge kümmern und nicht mit solchem Aktionismus eine seriöse Tätigkeit vorgaukeln.

Update: Rechtsanwältin Nina Diercks äußert sich im Social Media Recht Blog sehr ausführlich über diese Ankündigung des ULD. Ihr Fazit: Gewissermaßen hat das ULD irgendwie Recht, aber über die Folgen mag sie im Detail derzeit nicht nachdenken, wenn sie Übelkeit vermeiden will. Verständlich, ich konnte das Nachdenken leider nicht verhindern und kämpfe nach wie vor mit der Übelkeit. Auch Udo Vetter äußert sich im law blog zu dieser Meldung und nennt die Drohungen

…gegen alle Schleswig-Holsteiner, die Plugins von Facebook verwenden, ein Armutszeugnis für das ULD. Statt sich mit dem wirklichen Gegner Facebook anzulegen und auf Verbesserungen zu drängen, versuchen es Weichert und seine Leute über die Einschüchterung harmloser Facebook-Nutzer.

Exakt, dem gibt es nichts hinzu zu fügen.

Tags: , , , , , ,

Empfohlene Links vom 13.10.2010

Tags: , , , , ,