Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für Predictive Policing, Schweiz-Aufschlag und einer Sicherheitslücke, die schon lesen und schreiben kann.
USA will politische Ansichten und sexuelle Orientierung von Touris
Bürgerinnen und Bürger vieler europäischen Nationen, darunter auch die Schweiz, können für touristische Zwecke visumsfrei in die USA reisen. Dafür verlangte die USA bereits bisher relativ viele Daten, beispielsweise Essenswünsche (aus welchen man u.U. die Religion erraten kann) oder Informationen zu Behinderungen. Beides würde wohl in der Schweiz als «besonders schützenswerte Personendaten» klassiert. Doch bereits 2022 forderten die USA, dass weitergehende Personendaten übermittelt werden müssten, die dann 15 Jahre lang gespeichert werden dürften.
«Den Abschluss einer „Enhanced Border Security Partnership“ (EBSP) hatte die US-Regierung bereits 2022 von allen Teilnehmerstaaten des Visa-Waiver-Programms (VWP) verlangt – mit einer Frist bis Ende 2026», schreibt Matthias Monroy bei Netzpolitik.org. Die Bedingungen dieser «Grenzpartnerschaft», so das von der britischen Bürgerrechtsbewegung Statewatch veröffentliche Verhandlungsdokument, gehen weiter als bislang vermutet.
Unter bestimmten Bedingungen dürfen laut Entwurf auch besonders sensible Kategorien personenbezogener Daten übermittelt werden, darunter Informationen zu „rassischer oder ethnischer Herkunft, politischen Ansichten oder religiösen oder sonstigen Überzeugungen, Gewerkschaftszugehörigkeit“ sowie Angaben zu „Gesundheit oder Sexualleben“.
Der Entwurf erlaubt sogar die Weitergabe empfangener Daten an Behörden in Drittstaaten oder internationale Organisationen – allerdings nur mit vorheriger Zustimmung der übermittelnden Behörde.
Aus «Erzwungene „Grenzpartnerschaft“: EU-Kommission will US-Behörden erlauben, politische Ansichten und „Herkunft“ abzufragen», Matthias Monroy, Netzpolitik.org, 2026-05-02.
Weitere wird im Artikel die Nutzung der Datensätze für Prognosezwecke erlaubt, landläufig als Predictive Policing bezeichnet. Predictive Policing ist dafür bekannt, vor allem herrschende Vorurteile zu verstärken, was Personen, welche unschuldig so vorverdächtigt werden, das Leben sehr erschweren kann.
Ebenso sollen die Daten neu als Begründung für Ausschaffungen genutzt werden können, wie sie seit einiger Zeit mit von der Ausschaffungsbehörde ICE mit unberechenbaren Methoden und hohem Gewaltpotenzial durchgeführt werden. Weiter soll den Betroffenen der Zugang zu ihren gespeicherten Daten sowie allfälligen Berichtigungen u. a. mit dem Verweis auf „nationale Sicherheit“ verweigert werden. Mit dieser fragwürdigen und dehnbaren Begründung wurden sehr viele der Trump’schen Edikte begründet, auch für Punkte, die Normalsterbliche nie unter „nationale Sicherheit“ einordnen würden, wie beispielsweise Zölle auf Holz oder das Abschalten von Windkraftwerken.
Es ist zu vermuten, dass der Schweizer Vertrag ähnliche Bedingungen vorsieht. Und möglicherweise – da wir seit dem Zollstreit dafür bekannt sind, auf Forderungen einzuknicken – noch schlechtere als die unserer Nachbarländer.
Der digitale Schweiz-Aufschlag
Wer kennt ihn nicht, den Schweiz-Aufschlag, also, dass wir in der Schweiz für dasselbe Produkt deutlich mehr zahlen. Gewisse Preisunterschiede lassen sich mit Zöllen, höheren Anforderungen oder besserem Lohn des Verkaufspersonals erklären. Doch oft bleibt ein erstaunlich grosser Rest.
Die meisten dieser Unterschiede fallen bei Digitalprodukten weg oder sollten sich wegen der geringeren Mehrwertsteuer sogar in einen Rabatt verwandeln. Der Konsumentenschutz hat Software und Software-Abonnemente beidseits der Grenze verglichen: Oft waren die Produkte hüben rund 20 % teurer als drüben. Und dies, obwohl Geoblocking seit 2022 verboten ist, insbesondere Diskriminierung beim Preis oder den Zahlungsbedingungen.
In einem Fall – bei der Webseitenerstellung mit Jimdo Start – betrug der Schweiz-Preis mehr als das Doppelte. In jenem Fall erhalten aber die Schweizer Abonnent:innen auch gewisse Zusatzfunktionen, die sie nicht abwählen können. Ob ihnen dies 114 % mehr wert ist, können sie nicht entscheiden.
Der Konsumentenschutz empfiehlt, bei den entsprechenden Unternehmen den Preis der Nachbarländer einzufordern. Falls die Unternehmen nicht darauf eingehen, soll man sich direkt beim Konsumentenschutz melden.
Office-Integrationen in Nextcloud
Wer sich beim Umstieg zu mehr Digitaler Souveränität praktisch weiterbilden möchte: Matthias Eberl hat sich beim neunten Teil der Kuketz-Blog-Serie zum Thema Nextcloud die Office-Integrationen detailliert angeschaut.
Zuerst einmal entwirrt er die verwirrenden (Namens-)Konventionen der LibreOffice/Collabora- und OnlyOffice/EuroOffice-Plugins, etwas was mir immer wieder Kopfzerbrechen bereitete. Danach vergleicht er die beiden Office-Plattformen aus Usersicht und kommt zum Schluss, dass beide gut zu bedienen sind und auch mit grossen und komplexen Dokumenten recht gut zurechtkommen. Trotzdem sieht er Collabora etwas weiter vorne. Der detaillierte Vergleich findet sich, wie gesagt, hier.
Für die Zusammenarbeit im Dokument brauchen beide Office-Pakete Backend-Server, die sich um die Kommunikation kümmern. Beide bieten einen kleinen Backend-Server als Nextcloud-Plugin an. Im Test funktionierte das integrierte OnlyOffice-Backend nicht zufriedenstellend und es musste auf einen externen Server ausgewichen werden. Bei beiden Systemen empfiehlt er für die Zusammenarbeit im grösseren Stil die leistungsfähigeren externen Backends zu nutzen.
Apropos EuroOffice: EuroOffice wurde ja als das offenere und transparentere OnlyOffice angekündigt, von dem es gerade abgespalten («geforkt») wird. Woraufhin sich ein Zwist entwickelte, unter anderem, weil OnlyOffice in seiner Open-Source-Lizenz AGPL Ergänzungen beinhaltet, welche de facto das Forken verhindern. Die Free Software Foundation (FSF), die Stiftung hinter den GNU-Lizenzen und GNU-Software, hat sich inzwischen eingeschaltet und rügt OnlyOffice. In einem Blog-Post erklärt die FSF, dass die GNU-Lizenzen GPL und AGPL nicht dazu verwendet werden könnten, Software-Freiheitsrechte einzuschränken, weil das sowohl ihrer Intention als auch ihrem Wortlaut zuwiderlaufe.
Linux-Sicherheitslücke est. 2017
Vergangene Woche wurde bekannt, dass im Linux-Kernel seit 2017 eine Lücke existiert, mit der die Repräsentation von Dateien im Speicher fast beliebig geändert werden kann. Und das zuverlässig und wiederholbar. Daraus ergibt sich eine unübersehbare Anzahl von Möglichkeiten, mit der man das Rechtemanagement eines Rechners übertölpeln kann, wenn man darauf Programme ausführen kann. So kann man einer Applikation ein anderes Passwort unterjubeln oder die Passwortabfrage ganz unterbinden, um nur zwei Beispiele der damit möglichen Local Privilege Escalation (LPE) zu nennen.
Eine schreckliche Sicherheitslücke, die seit bald einem Jahrzehnt im Linux-Kern schlummert. Also etwas, bei dem die Entwickler und die Vertreiber (die Leute hinter den Linux-Distros wie Debian, Ubuntu, SuSE oder RedHat) koordiniert zusammenspannen sollten, um eine Lösung für die Lücke zu erarbeiten und koordiniert auszurollen. Sollte man meinen.
Doch die KI-gestützten Entdecker hinter der Sicherheitslücke scheinen auch die Veröffentlichung der Sicherheitslücke der KI überlassen zu haben, wie Will Dorman detailliert darlegt:
- Weder haben sie den von vielen nationalen IT-Sicherheitsbehörden unterstützten «Coordinated Vulnerability Disclosure»-Prozess (CVD) genutzt, noch haben sie die Koordinationsarbeit selbst übernommen.
- Zum Zeitpunkt, als das Entdeckerteam die Sicherheitslücke publik machte, schrieben Sie auf ihrer Webseite, dass «die grossen Distributionen zum Zeitpunkt der Publikation Updates bereithalten» würden («major builds are out as of this writing»). Keine der erwähnten Distros hatten zu dem Zeitpunkt Linux-Kernel mit der Korrektur bereit zur Auslieferung. Auch, weil die Teams hinter den Distros oft von dieser Publikation überrascht waren (siehe «mangelnde Kooperation» oben).
- Die beschriebenen Workarounds funktionierten nicht auf allen wichtigen Linux-Distributionen.
- Die Methode, mit der man erkennen könne, ob die Sicherheitslücke im benutzten Kernel gefixt sei, war zwar technisch korrekt, aber 120 % impraktikabel.
So kommuniziert man keine Sicherheitslücke, wenn man dem Schutz der IT-Infrastruktur hohe Priorität beimisst.
Wer selbst eine Schwachstelle findet, dem sei der CVD-Prozess des Bundesamts für Cybersicherheit (BACS) ans Herz gelegt.
Wer einen Linux-Rechner betreibt, auf dem auch andere Personen Code ausführen können, der sollte schleunigst die Herstellerpatches einspielen und den Rechner neu starten(!). Für Hersteller, bei denen es noch keine Updates gibt, sollten die von RedHat freundlicherweise dokumentierten Workarounds aktiviert werden. Weitere technische Infos hier.
Wer keinen Prozess hat, mit dem kurzfristig Sicherheitsupdates eingespielt und Rechner neu gestartet werden können, sollte sich dringend einen etablieren. Dazu gehören Automatisierung und Tests, eine Denkweise, welche für IT-Software-Entwicklung und -Betrieb im 21. Jahrhundert inzwischen selbstverständlich sein sollte. Und ein möglichst einheitliches Ökosystem.
Damit wir bei Bedarf schnell agieren können («move fast»), ohne dass etwas kaputt geht («break things»). Weil beides in der heutigen IT-Welt mit Cyber- und politischen Bedrohungen sowie technischen Änderungen der Aussenwelt unerlässlich ist. Und wenn man diese Prozesse hat, können alle besser schlafen. Von der IT bis zum Management.
Selbsternannte Zertifikate
Digitale Zertifikate sind dazu da, die Authentizität von etwas zu belegen: Ob der Webserver, der bei einer Anfrage nach «dnip.ch» antwortet, auch wirklich der DNIP-Server ist und nicht ein Angreifer, der den Internetverkehr abfängt. Das sind sogenannte Serverzertifikate. Oder ob eine Mail auch wirklich vom angeblichen Absender stammt (sogenannte Userzertifikate). Oder, wie im Fall, der uns heute interessiert, ob das Programm, welches man gerade installiert, wirklich von einem vertrauenswürdigen Hersteller stammt und nicht irgendwelche Malware ist.
Genau bei der Zertifizierung von solcher Software hat nun aber die Zertifizierungsstelle («Certificate Authority», CA) DigiCert sich übertölpeln lassen. Und zwar in der teuersten und damit angeblich sichersten Kategorie «Extended Validation» (EV). So wurden mindestens 27, möglicherweise bis zu 60 Code-Signing-Zertifikate im Namen von reputablen Firmen ausgestellt, aber für Cyberkriminelle. Digicert ist dem erst nachgegangen, als über 8 Tage hinweg 7 missbräuchliche Zertifikate durch Dritte gemeldet wurden. Es dauerte weitere 5 Tage, bis alle Zertifikate als ungültig erklärt waren. Nachvollziehen kann man das im Mozilla-Bugtracker (oder etwas schöner formatiert hier; Diskussion hier).
Wie lief der Angriff ab? Einer Supportperson von DigiCert wurden in einem Kundenchat angebliche Screenshots eines Fehlers übermittelt; in Wirklichkeit handelte es sich aber um eine ZIP-Datei mit einer ausführbaren Datei darin. Diese wurde vom Supportmitarbeiter gestartet, worauf Software des Angreifers nachgeladen wurde. Mit dieser Software (und einem zu gesprächigen Supportportal von DigiCert) stellte der Angreifer dann gefälschte Zertifikate aus, welche unter anderem zur Signierung einer Stealer-Malware benutzt wurde, also einer Software, welche Passwörter und andere Zugangsdaten ab den Rechner des Opfers klaut.
Die böswillige Ausstellung von Zertifikaten wurde erleichtert, weil PassKeys zum Einsatz kamen. Eigentlich gelten PassKeys als besonders sicher, da die Benutzer:in sie bei einem Phishing-Angriff nicht herausgeben können sollte. In diesem Fall wurde aber der Support-Laptop ferngesteuert und der PassKey vom Laptop automatisch zum Login beim Supportportal genutzt.
Was schief lief (und wogegen man sich schützen sollte):
- Benutzer konnte ausführbare Dateien, im konkreten Fall Malware, via Chat empfangen (wobei das nicht auf Chat begrenzt ist, dasselbe Problem kann es mit Email geben)
- Das Ausführen der Malware wurde nicht erkannt oder gar geblockt
- Das Supportportal hat Informationen herausgerückt, die von Angreifern missbraucht werden konnten
- Das automatische Login konnte missbraucht werden. Besonders sicherheitsrelevante Aktivitäten sollten nie ohne menschliches Zutun oder 4-Augen-Prinzip möglich sein.
Und schliesslich:
- Antropic beginnt, seine Claude-Kunden zu identifizieren. Und OpenAI verkauft eure Daten an Werbetreibende. Buchodi hat sich den Datenfluss bei OpenAI-Werbung angesehen und gibt Tipps, wie man sie minimieren kann. Eine deutsche Zusammenfassung findet man bei Golem.
- Bevor in eurer Firma KI-Agenten einsetzt, solltet die Firma bereit sein, damit umzugehen. So sollte ein engmaschiges Rechtemanagement sowie ein fundiertes, getestetes Backupkonzept existieren und die Firma sollte bereit sein, nach einem KI-Fehler oder dadurch bedingten Ausfall schnell wieder funktionieren zu können (siehe oben).
- Meta, die Firma hinter WhatsApp, Facebook und Instagram, die smarte Brillen mit Kamerafunktionen verkauft, hat die Zusammenarbeit mit einer kenianischen Firma eingestellt. Die Mitarbeiter dieser Firma sollten die Aufzeichnungen der Kamerabrille kategorisieren und waren entsetzt, auch etliche Nacktaufnahmen zu sehen. Meta hat keine Begründung geliefert, die Kenianer vermuten aber, dass Meta entzürnt sei, weil die Existenz der Nacktaufnahmen an die Öffentlichkeit kam.
- Predictive Policing ist auch Thema in etlichen Schweizer Polizeigesetzen. Passend dazu hat Noctua Moser beim «Lamm» die Überwachungsaktivitäten in der Schweiz zusammengefasst.
- Unser Nachrichtendienst (NDB) muss nicht erklären, wie er Informationen beschafft. Auch nicht, wenn diese Informationsbeschaffung rechtswidrig erfolgte, urteilt das Bundesverwaltungsgericht.
- Insiderhandel macht man heute modern über Prognosemärkte, auf denen man Wetten auf die Zukunft abschliessen kann. Und die auch für Geldwäsche ganz praktisch sind.
- Wer glaubt, er habe „unlimited Backup“ bezahlt, kann sich irren. So hat der bekannte Backup-Dienst Backblaze begonnen, seinem „unlimited“-Angebot Limiten zu setzen. Hier gilt also ganz besonders, was auch sonst bei jedem Backup gilt: Regelmässig zu überprüfen, ob auch wirklich alle wichtigen Daten ins Backup kommen und ob man sie auch wieder zurückbekommen kann.
- Die fragwürdige Sicherheit bei TeleGuard ist inzwischen auch beim Magazin «Saldo» (Paywall) angekommen. Interessant: Teleguard sei die Nummer 2 unter den kostenpflichtigen Apps in der Kategorie.
- Früher hatte der von vielen Entwicklern genutzte Microsoft-Dienst GitHub eine Statusseite, die detailliert angab, welche Funktionen von GitHub gerade nicht funktionieren. Die gibt es nicht mehr offiziell, dafür hat jemand eine inoffizielle Version davon gebaut, um Transparenz zu schaffen.
2 Kommentare
Mir scheint, in diesem Satz fehlt etwas, zB ein «… verweigert werden»
Der Satz:
Weiter soll den Betroffenen der Zugang zu ihren gespeicherten Daten sowie allfälligen Berichtigungen u. a. mit dem Verweis auf „nationale Sicherheit“.