Es klang zu schön: Für ab dem 1.1.2007 geborene Kinder erhalten die Eltern unabhängig von ihrem Einkommen ein Elterngeld in Höhe von 67% des letzten Gehaltes, mindestens 300 Euro und maximal 1800 Euro monatlich. Und zwar für 12 bis 14 Monate.

Nun weist jedoch der Focus auf einen bislang kaum beachteten Passus im Elterngeldgesetz hin: Da Arbeitnehmerinnen in der Regel ca. 2 Monate nach der Geburt Mutterschutzleistungen durch Arbeitgeber und Krankenkassen beziehen, beginnt die Zahlung von Elterngeld für diese in den meisten Fällen erst ab dem 3. Monat nach der Geburt. Und endet ein Jahr nach der Geburt, Elterngeld kann also nur 10 Monate bezogen werden.

Ein weiterer Kritikpunkt am neuen Eltergeld ist die spürbare Verschlechterung für Geringverdiener, Arbeitslose und Studenten. Erhielten diese bislang bis zu 24 Monate Erziehungsgeld in Höhe von 300 Euro monatlich, verkürzt sich dies nun um genau 12 Monate. Sie erhalten für genau ein Jahr den monatlichen Mindestsatz von 300 Euro als Elterngeld, büßen also 3600 Euro ein.

Und als wäre das alles noch nicht genug, kommt eine weitere kleine Gemeinheit hinzu: Das Elterngeld wird zwar steuerfrei gewährt, erhöht jedoch, da es zum Einkommen hinzugerechnet wird, den persönlichen Steuersatz. Und so holt sich der Staat bei der Einkommenssteuererklärung einen guten Teil des ausgezahlten Geldes wieder zurück. Sehr großzügig…

Nach den Lobeshymnen auf das neue Gesetz zeigen sich nun so nach und nach die ganzen kleinen Hintertürchen und Fallen, die das Gesetz mitbringt. Und wieder zeigt sich, dass letzten Endes die Menschen, die ohnehin finanziell schlechter gestellt sind, benachteiligt werden. Selbstverständlich ist es ein tolles Gesetz, die Politiker haben sich gegenseitig auf die Schulter geklopft und ihr neues Gesetz in den höchsten Tönen gelobt. Und dabei irgendwie vollkommen vergessen, die Nachteile und Einschränkungen zu erwähnen.

Ich frage mich wann in diesem Land mal ein Gesetz verabschiedet wird, welches ohne Ausnahme- und Sonderregelungen auskommt und keine Haken und Ösen aufweist. Das werd ich wohl nie erleben… Menschenskinder ihr Schwafelköpfe da in Berlin, eine Flatrate als Elterngeld wäre sowas von einfach gewesen, schon wenn man den Verwaltungsaufwand bedenkt…

Wenn ich die Meldungen der letzten Wochen jetzt zum Jahresende mal ein wenig Revue passieren lasse, dann kommt mir als erstes ein spezielles Thema in den Sinn: die Fernüberwachung privater PCs aka Online-Hausdurchsuchung. Nordrhein Westfalen hat bereits ein Gesetz verabschiedet, welches diese Handlungen erlaubt und keine Sau interessiert es. Nun will auch Niedersachsen nachziehen, weitere Bundesländer werden sicherlich folgen. Nebenbei bemerkt find ich es erstaunlich, dass diesmal nicht Bayern Vorreiter ist, aber das ist nebensächlich.

Tatsächlich ist in den letzten Wochen viel Müll verbreitet worden, was die Methoden des Eindringens in PCs angeht, viele Meldungen erwecken den Anschein, es würde ein Über-Trojaner entwickelt werden, der „mal eben“ einem potentiellen Terroristen untergejubelt wird und dann auf dessen PC anschlagsvorbereitung.doc und sprengsatzkostenanalyse.xls findet und die Inhalte an die Behörden weiterreicht. Dass dies größtenteils Schwachsinn ist, konnte man mittlerweile nun ebenfalls nachlesen, wenn der gesunde Menschenverstand oder das Know How für diese Erkenntnis nicht ausreichte.

Nachdenklich macht mich in diesem Zusammenhang allerdings der zeitliche Ablauf diverser Ereignisse. Im September verabschiedete das Bundeskabinett den Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Darin enthalten ist beispielsweise ein Passus, der den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt. Gut, staatliche Behörden sind von derartigen Regelungen ausgenommen, Polizisten oder Beamte des Bundesgrenzschutzes dürfen unter bestimmten Voraussetzungen auch auf Menschen schießen. Aber interessant ist der Abschnitt, in dem Herstellung, Überlassen, Verbreitung oder das Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, unter Strafe gestellt werden soll.

Das muss man sich nun einmal auf der Zunge zergehen lassen:
Es sollen Gesetze geschaffen werden, die „Hacker-Tool“ faktisch verbieten. Bekanntermaßen ist aber ein Werkzeug so lange ein Werkzeug, wie es nicht für illegale Handlungen eingesetzt wird. Die Geschichte mit dem Hammer, der sowohl zum Einschlagen von Nägeln als auch Köpfen verwendet werden kann, ist sicher jedem klar…
Und auch die von unseren Bundesheinis als „Hacker-Tools“ bezeichneten Werkzeuge sind vielfach nichts anderes als Werkzeuge. Die, die nötige Menge an krimineller Energie vorausgesetzt, natürlich auch missbraucht werden können. Sehr häufig werden diese Tools jedoch von Administratoren, Netzwerktechnikern und Sicherheitsbeauftragten dafür eingesetzt, Fehlkonfigurationen, Schwachstellen und Fehler im eigenen Netzwerk zu finden, um diese schließen zu können. Natürlich wäre es naiv von mir zu glauben, diese Tools würden ausschließlich dafür eingesetzt; ich bin nicht so blauäugig, so zu denken oder zu argumentieren. Allerdings werden mit diesen Gesetzesentwürfen oben genannte Personen, die tatsächlich nichts illegales tun und nur sich bzw. ihre Systeme schützen wollen, kriminalisiert. Diejenigen, die damit in Computer oder Netzwerke einbrechen wollen, kümmern sich ohnehin einen feuchten Kehricht um derartige Gesetze.

Nun stellen wir also fest: Man wird per Gesetz der Möglichkeit beraubt, seine Systeme auf Schwachstellen und Fehlkonfigurationen hin abzuklopfen. Läuft somit also unter Umständen ins offene Messer, wenn man für kriminelle Nutzer der „Hacker-Tools“ aus irgendeinem Grund zur Zielscheibe wird. Und: man hat keine (legale) Möglichkeit herauszufinden, ob man aufgrund eines Softwarebugs oder einer Fehlkonfiguration nicht zufällig ein Hintertürchen offen hält, über das entweder Scriptkiddies, Wirtschaftsspione oder aber eben auch Behörden nach Lust und Laune in den vermeintlich sicheren Daten herumwühlen. Und genau da scheint sich für mich im Augenblick der Kreis zu schließen. Ich soll nicht mehr prüfen dürfen, ob meine neuen Sicherheitsschlösser, meine Tür und mein Türrahmen sicher genug sind, damit im Fall eines Falles das Einsatzkommando sich nicht die Füße beim Eintreten der Tür bricht.

Wann wird hier in Deutschland eigentlich Verschlüsselung unter Strafe gestellt?

Bei Udo Vetter lese ich gerade, dass das Saftblog abgemahnt wurde. Nach Angaben der Betreiber wirft der Deutsche Olympische Sportbund, gegründet im Mai dieses Jahres, dem Saftblog unter anderem Rufausbeutung, Urheberrechtsverletzung, Irreführung und Markenrechtsverletzung vor. Weil das Saftblog in 2 Artikeln über die Olympischen Spiele berichtet hat.

17 Seiten umfasst das Schreiben der Anwälte und es beinhaltet so abgedrehte Feststellungen wie beispielsweise dieses Zitat:

„Beide Slogans sind von Ihrem Geschäftspartner Jörg Holzmüller verfasst und dienen offensichtlich als „Meta-Tag“ um potentielle Kunden auf Ihr Angebot aufmerksam zumachen.“

Ja, klingt schön wichtig und technisch, auch wenn man da offenbar keine Ahnung hat, worüber man da eigentlich schreibt. Wirkt zumindest so auf mich. Das komplette Anschreiben ist leider (noch) nicht verfügbar. Denn mich würde tatsächlich schwer interessieren, welche Markenrechte da bspw. verletzt wurden. Ist die Bezeichnung „Olympische Spiele“ etwa eine eingetragene Marke dieses Verbandes? Keine Ahnung, aber diese Abmahnung ist mehr als nur unsportlich.

Die Folge der Aktion ist übrigens: Die Firma Walther will nun das Saftblog schließen. Zitat:

Dieses Blog wollten wir nutzen um mit Kunden, Interessenten und anderen zu kommunizieren. Wenn wir nicht über Dinge reden/schreiben dürfen, die uns über das Geschäft hinaus beschäftigen, dann wird dies hier zu einer Walthers-Werbeveranstaltung – und das ist nicht Sinn der Sache.

Es tut uns sehr leid, aber ein Kundendialog in Form eines Weblogs durch ein Unternehmen ist in Deutschland nicht möglich. Es lebe die Freiheit!

Traurige Sache, armes Deutschland.

Nachtrag: Zumindest die Verwendung der Olympischen Ringe in einem der beiden abgemahnten Beiträge könnte eventuell zu einem Problem werden. Die Verwendung im geschäftlichen Verkehr ist seit 2004 ausschließlich dem NOK und dem IOC gestattet. Ob die illustrierende Darstellung dieses seit 1913 existierenden Symbols im Saftblog nun jedoch eine Verwendung im geschäftlichen Verkehr darstellt…die Beantwortung dieser Frage kann durchaus zu einer haarspalterischen Auseinandersetzung führen. Ich finds nur wieder einmal äußerst erschreckend, dass man heutzutage eigentlich tatsächlich alles anwaltlich absegnen lassen sollte, um nicht in den finanziellen Ruin getrieben werden zu können…

Gestern haben wir bemerkt, dass einer unserer Webserver mehr als träge auf Anfragen reagierte und zum Teil nicht mehr antwortete. Eine Analyse der Logs zeigte mir irgendwann: der Server wurde mit tausenden von Anfragen auf mein altes Weblog bombardiert. Es handelte sich dabei um HTTP-POSTs auf die Dateien wp-comments-post.php und wp-trackback.php.
Mein altes Blog habe ich irgendwann einmal umgestellt, Kommentare, sofern noch welche ankamen, landeten in der Moderationsschleife. Und diese war gestern abend ca. 260.000 Einträge groß!

Da ein Restart des Serverdienstes nur für ca. 2min Entspannung brachte, habe ich weiter analysiert. Die Anfragen kamen von extrem vielen unterschiedlichen IP-Adressen, insofern kam eine Sperrung dieser Adressen nicht in Frage. Deshalb hab ich es zunächst leicht angesäuert mit einer kleinen Gemeinheit versucht und Anfragen auf die beiden Dateien in der .htaccess per 301-Redirect auf den Host 127.0.0.1 umgeleitet. Ergebnis: Keins. Des Spam-Tool schickt offenbar seine POSTs ab, ohne sich um eine Antwort zu kümmern. Wurde der HTTP-Request abgeschickt, war es das, das Tool interessiert sich nicht dafür, ob und wie der Webserver darauf antwortet. Demzufolge brachte auch eine Umbenennung der beiden Dateien garnichts. Die Anfragen kamen weiterhin zu tausenden hinein und blockierten den Server.

Letzten Endes half dann nur noch eine einzige Maßnahme: Wir haben auf der Firewall einen Filter eingerichtet, der für die URL meines alten Blogs Zugriffe auf wp-comments-post.php und wp-trackback.php blockiert. Seitdem herrscht Ruhe, zumindest hinter der Firewall.

Diese Maßnahme konnte ich ergreifen, weil mir reichlich egal ist, ob in dem alten Blog noch Kommentare und Trackbacks eingehen. Es ist einfach nur noch da, aber nicht mehr wirklich aktiv. Für aktive Blogs ist diese Maßnahme so nicht denkbar, Kommentare oder Trackbacks wären nicht mehr möglich. Hier hilft dann nur ein etwas tieferer Eingriff: die Dateien wp-comments-post.php und wp-trackback.php müssen umbenannt werden und Aufrufe dieser beiden Dateien im WordPress-Code entsprechend angepasst werden. Wenn ich etwas Zeit habe, werde ich diese Anpassungen vornehmen und die geänderten Dateien dann hier zum Download anbieten. Dann dürfte zumindest für einige Zeit Ruhe sein – bis die Spammer ihre Tools entsprechend angepasst haben.

Für mich handelt es sich hier um eine vollkommen neue Qualität von Kommentarspam, in diesem Umfang hab ich es bisher noch nie erlebt und damit stehe ich nicht allein da. In der Größenordnung, wie hier dem Server die Requests um die Ohren gehauen werden – da wird wohl so ziemlich jedes System über kurz oder lang das Handtuch werfen. Den Spammern ist das vollkommen egal, es interessiert sie nicht, ob die Zieldateien überhaupt vorhanden sind oder ob es Umleitung gibt etc., ihre Bot-Netzwerke ballern die HTTP-Requests einfach hinaus und fertig. Es ist den Spammern auch vollkommen egal, ob die Einträge überhaupt in irgendeiner Form auf den betroffenen Blogs auftauchen. Bei der Masse, die hier ins Netz geblasen wird, wird sicher das eine oder andere „tote“ System dabei sein, welches die zigtausend Einträge einfach veröffentlicht und somit die gewünschten Backlinks produziert. Insofern scheint mir im Augenblick die oben beschriebene Maßnahme der einzig gangbare Weg zu sein, um die Webserver zu entlasten und diesen Spam wirkungsvoll zu filtern.

Sollte dieser Trend so anhalten, dann ist es für mich ohnehin auch nur noch eine Frage der Zeit bis die ersten Provider beginnen, Requests auf diese Dateien zu filtern, um ihre Server zu schützen.