Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta. Ausserdem nutzen wir das Format für Kurzeinordnungen und -erklärungen zu brandaktuellen Tech-News.
Microsoft 365-Lösung für Zürcher Kantonsverwaltung zugelassen
Passend zur Ankündigung für ein neues, drittes Datentransferabkommen zwischen EU und USA, gibt die Zürcher Kantonsverwaltung grünes Licht für Microsoft 365 Cloud (Verträge wurden bereits im Juni 2021 abgeschlossen), inklusive Kantonspolizei.
Untersucht wurden dabei anhand eines Rasters die Risiken für einen “Lawful Access” für Office, Email (Exchange), Kalender etc gemäss des amerikanischen Cloud Acts. Dabei hat der Regierungsrat sich angeschaut welche Daten über eine Cloud fliessen und wo diese “on premise” gespeichert werden können. Teams und Exchange Online (Kollaborationstools und Mails) sind dabei die Hauptrisiken für die Kantonsverwaltung, da diese nur noch über Microsoft Cloud funktionieren. Hier soll eine zusätzliche Verschlüsselung eingeführt werden, die unter der Hoheit des Kantons verbleiben soll.
Der Regierungsrat kommt in seinem Beschluss zu “interessanten” Schlüssen, er operiert mit Eintretenswahrscheinlichkeiten für einen “lawful access” durch die US-Behörden. Demnach sollen Strafverfolgungsbehörden nur in 1000 Jahren-Intervallen erfolgreich an Daten von Zürcher Verwaltung gelangen. Bis Dezember 2021 gab es ausserdem noch nie eine Anfrage aus den USA gemäss Microsoft.
“Die Risikobeurteilung kommt zum Ergebnis, dass die prognostizierte Wahrscheinlichkeit eines erfolgreichen ausländischen Lawful Access in Bezug auf Daten in Geschäftsverwaltungssystemen in der Betrachtungsperiode von fünf Jahren bei 0,74% liegt. Bei diesem Wert braucht es 1552 Jahre, damit es – statistisch gesehen – mit einer Wahrscheinlichkeit von 90% mindestens einmal zu einem erfolgreichen Lawful Access kommt.“
RR-Beschluss vom 30. März 2022
Berechnet wurde das Ganze übrigens von IT Recht-Anwälten, die vom Zürcher Regierungsrat zu Rate gezogen worden und einen Workshop mit Fachexpertinnen durchführten, der Lead lag nicht bei der Zürcher Datenschützerin (die aber gemäss Bericht durchaus konsultiert worden ist). Der Beschluss fokussierte alleine auf die Wahrscheinlichkeit eines Zugriffs der amerikanischen Behörden auf die Daten. Andere Themen wie Abhängigkeiten vom Tech-Giganten, steigenden Lizenzpreisen und die zunehmende Bündelung/Monopolisierung der Dienste in der Cloud wurden zwar erwähnt, ihre Risiken wären jedoch gegen ein anderes aufgewogen: “Geringe Zukunftsfähigkeit” wenn man auf 365 verzichtet und auch dass man sich damit “technologisch ins Abseits” manövrieren würde.
“Mit dem Verzicht auf M365 ergeben sich unter anderem folgende Auswirkungen:
– Geringe Zukunftsfähigkeit: Microsoft hat eine klare Cloud-Strategie mit dem erklärten Ziel, je länger, desto mehr nur noch für die Cloud weiterzuentwickeln und zunehmend Lösungen und Funktionalitäten nur noch aus der Cloud anzubieten.“
RR-Beschluss des Zürcher Regierungsrats vom 30. März 2022
Zürich geht dabei einen diametral anderen Weg als andere europäische Verwaltungen, die derzeit versuchen wieder vom Big Tech-Konzern wegzukommen. Nextcloud klagt gegen Microsoft und dessen Cloudisierung und Integration seiner Angebote und reichte bei der EU Kommission eine formelle Beschwerde ein. Nutzerinnen würden aggressiv dazu gedrängt sich bei Microsoft anzumelden und ihre Daten in der Cloud abzuspeichern. Eine Mehrheit der Deutschen DatenschützerInnen kam zum Schluss dass ein rechtskonformer Einsatz von Microsoft 365 nicht möglich sei. Und im April 2021 hat die Zürcher Datenschützerin noch empfohlen Steuerdaten nicht unbedingt bei Providern ohne angemessenes Datenschutzniveau (darunter eben auch die USA) zu speichern. Hoffen wir also dass wir – wie vom Zürcher Regierungsrat berechnet- den erfolgreichen “Lawful Access” unserer Steuer, Gesundheitsdaten etc. nicht noch miterleben werden…
CatalanGate
Man denkt wohl dass es in Sachen Pegasus-Spyware der bankrott gegangenen Firma NSO Group eigentlich nichts mehr überraschen könne. Aber die europäische Relevanz des Themas wurde soeben um ein Kapitel reicher: Zahlreiche katalanische PolitikerInnen (Abgeordnete im Europaparlament), NGO-VertreterInnen waren Opfer der Spyware “Pegasus” und “Candiru”, wie das kanadische Forschungsteam Citizen Lab herausfand. Im spannend zu lesenden Text (und auch dem anschaulichen Scrollytelling-Piece) wird detailliert aufgelistet, wann wer von einem (neu gefundenen) Zero Click-Exploit (HOMAGE und Kismet) betroffen war und wie auch infizierte Links über SMS so individuell-geschickt gestaltet sein können, dass auch die phishing-resistenteste Person doch geneigt ist zu klicken. Denn SMS-Impersonation ist aufgrund verschiedener Absenderdienste ein Kinderspiel.
Die Schweiz spielt im neuesten Bericht von Citizen Lab auch eine Rolle. Bislang war bekannt dass es über hier operierende Server zu Infizierungen von Handys gekommen ist, etwa wurden die Server der Lausanner Firma Akenes SA missbraucht sowie auch das Swisscom-Netz. Bekannt war bislang nur ein Opfer: Ana Gabriel. Sie hielt sich zum Zeitpunkt des Angriffs in Genf auf. Dabei gab es noch weitere Fälle. So wurde etwa Jordi Baylina, der eine Leitungsfunktion bei Polygon hat (einer dezentralen Etherum-Plattform), via getarntem Mobile Boarding Pass der Fluggesellschaft Swiss ein infizierter Link “untergejubelt” via SMS. Die Pegasus-KundInnen müssen nicht nur über den Aufenthaltsort und -dauer ihrer “Angriffsziele” Bescheid gewusst haben, sondern auch über die präzisen Flugdaten und Airline.
“Sophistication and personalization of the messages varied across attempts, but they reflect an often detailed understanding of the target’s habits, interests, activities, and concerns. In many cases, either the timing or the contents of the text were highly customised to the targets and indicated the likely use of other forms of surveillance.”
Citizen Lab in “CatalanGate”
Vorgestern Dienstag trat ein Untersuchungsausschuss des Europäischen Parlaments erstmals zusammen, um Verstösse gegen EU-Recht im Zusammenhang mit dem Einsatz von «Pegasus» und ähnlicher Spionagesoftware zu untersuchen. Ein Verbot von Spyware für alle EU-Staaten ist derzeit eines der “hot topics” in Brüssel.
Data Brokers, das ultimative Erklär-Video (Youtube-Link)
Man kann US-Formate wie die Daily Show oder Last Week Tonight mögen oder hassen, aber es ist immer wieder erstaunlich wie sie es schaffen, gesellschaftliche oder politische Themen in einer massentauglichen Form kurz und prägnant zu präsentieren. So auch John Oliver in der Last Week Tonight-Show vom 11.4., in welcher er die Problematik von Data Brokern, Cookies, Webtrackern, Pseudoanonymität und Ad Targeting aufgriff und die Auswirkungen auf den Datenschutz und die Privatsphäre jeder und jedes einzelnen darlegte.
Angefangen bei gezielter Werbung basierend auf einzelnen Einkäufen (so atypisch sie auch sein mögen), über die Funktion von Data Brokern (die aufgrund der lascheren Privacy-Gesetzen in USA deutlich mehr Daten sammeln als ähnliche Unternehmen in Europa) bis hin zur Problematik, dass eine Handvoll Attribute ausreichen, um praktisch jeden Amerikaner individuell zu identifizieren, wird praktisch alles relevante am Thema beleuchtet. Scary (auch wenn es schlussendlich nicht überraschen dürfte) wird es spätestens dann wenn aufgezeigt wird, dass diese Datensammlungen auch dazu führen können, dass Menschen, welche in einem Schutzprogramm sind und deren Aufenthaltsort geheim gehalten werden sollte, problemlos lokalisiert werden können. Der Clou des Ganzen sind dann die letzten fünf Minuten in denen er einen durchaus nicht unplausiblen Ansatz zeigt, mit welchen (legalen) Mitteln man den US-Gesetzgebern zum Handeln motivieren könnte. Auf die Fortsetzung darf man gespannt sein (und, ach ja, hat jemand Lust auf eine Umsetzung in CH?).
PS: Selbst wem das alles schon mehr als bewusst ist, dürfte in seinem Umfeld den Einen oder die Andere haben welche das Problem nicht als solches wahrnehmen. Für diese könnte das Video ein augenöffnender Einstieg ins Thema sein. Wer will, kann dann gleich noch den Kommentar eines Datenschutz-Experten zum Video (Youtube-Link) nachschieben, verbunden mit dem Hinweis auf eine kurze Anleitung zur digitalen Selbstverteidigung.
PPS: Und wer Comic-Form bevorzugt, wird (mit Fokus auf Google Chrome aber insgesamt sicher verallgemeinerbar) das Contra Chrome-Comik lesenwert finden. Das gibt es, für des Englischen nicht so mächtige, auch in Deutsch.
2 Antworten
Man sollte mal die Kenntnisse von diesen „IT-Rechtanwälten“ prüfen – weit kann es damit nicht her sein. Hier gilt wohl der Spruch des deutschen Schriftstellers Ludwig Thoma: „Er war ein Einserjurist und auch sonst von mäßigem Verstande.“
Diese Berechnung ist ganz einfach falsch. Jemand, der eine Einführung in die Statistik bestanden hat, könnte es korrigieren. Hinweis: sieht deutlich schlimme aus – man muss keine tausend Jahre warten…