„There’s a storm coming in“

CC BY-SA 2.0 L.C.Nøttaasen @ flickr

Google hat nun Temperatur- und Luftfeuchtigkeitssensoren (Nest), Militärroboter (Boston Dynamics), selbstfahrende Autos und entwickelt gerade ein Handy, welches Innenräume mit GPS und Bewegungssensoren 3D-Scannen und modellieren kann (Project Tango).

Dazu kommt, dass Sie zugegeben haben, ihren selbstmodifizierenden Gesichtserkennungsalgorithmus nicht mehr zu verstehen (lies: „Der Computer ist in Teilen schlauer als wir). Der Gesichtserkennungsalgorithmus erkennt zum Beispiel auf einmal Katzen. Und als wäre die eigene Technik nicht intelligent genug, kauft Google „Deep Mind“, ein KI-Unternehmen.

Halten wir fest: Man weiss wer, und kann ihn am Gesicht erkennen, man weiss wo jemand ist (GPS, WLAN-Ortung), wie es da geländemäßig außen (Maps) und innen (Tango) aussieht, welche Umgebungszustände klimatischer Natur einen erwarten (Nest) und hat die Maschinen, die per Auto schnell an den Zielort gebracht werden können und dann verschiedene Maschinen die je nach Umgebung zum Einsatz gebracht werden können (Boston Dynamics).

Bin ich der einzige, der das etwas beängstigend findet?

M-Net liefert wirklich das Fritz!Box-Update aus!

Nachdem die Lücke bei heise schon etwas ausführlicher dokumentiert wurde und mittlerweile sogar bei Spiegel online angekommen ist, dass da was faul ist, hat heute nacht gegen 2 Uhr M-Net das Fritz!Box-Update dann schlussendlich auch bei mir ausgerollt. Als „BETA“.

Wer noch M-Net-Kunde ist und das Update schnellstmöglich haben will, für den hat ein User im Heiseforum einen Trick.

Aber solange M-Net die Fritz!Box als Zwangsrouter provisiert und als Netzabschlussgerät (und damit als Bestandteil des Netzes) vergibt, so lange sind sie dann vermutlich auch haftbar. (IANAL)

Als ich neulich bei der Amazon-App mein Passwort eingeben sollte…

Neulich hatte mein Smartphone eine neue Version der Amazon-App (Android) installiert. Das hatte zur Folge, dass ich mein Amazon-Passwort da neu eingeben musste. Mit der Handy-Tastatur. Ich sag mal so: Mein Passwort hat eine Entropie versprechende Länge, so dass das auch entsprechend nervig sein kann.

Warum setzen die ganzen Anbieter nicht das um, was AirDroid auch schon macht: Einloggen per QR-Code? (Ich zeige auf der Website eine „Log mich auf dem $Phone ein“-Seite an, die einen QR-Code anzeigt. Wenn ich den Code mit dem Smartphone scanne, wird die App auf dem Telefon connected.)

Man könnte damit per QR-Code z.B. ein Auth-Token oder eine Session übermitteln und hätte damit auch gleich das Problem gelöst, dass ich am Ende nicht einmal die Passwörter an die Geräte senden – und auf ihnen speichern – müsste.

Und wenn man unterwegs ist und nicht gerade vor einem größeren Bildschirm sitzt und dort eingeloggt ist, so kann man ja immer noch das mit dem Passwort machen.

M-Net und das IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Nachdem Heise und AVM vorbildlich reagiert haben und schnell Updates für betroffene Fritz!Boxen ausgespielt haben, liegt in meinem Fall bei M-Net:

Ich fragte also um 11:42 Uhr via Facebook:

Wann wird das Update für die Fritzboxen eingespielt, welches die Fernwartungs-Lücke schließt?

Darauf kam von M-Net folgende Antwort (12:48 Uhr):

Hallo …, das Update erfolgt nicht automatisch. Wenn Sie dieses wünschen, so können wir die neue Firmware gerne aufspielen. MfG [name]

Die Steilvorlage lasse ich mir natürlich nicht entgehen und frage um 12:57 nach:

Ich fasse das mal zusammen:
Sie zwingen ihre Kunden dazu, einen (rechtlich immer noch bedenklichen) Zwangsrouter zu nutzen, der ihre Kunden im großen und ganzen hauptsächlich einschränkt (keine anderen SIP-Provider, keine Updates), nehmen dann aber ihre Pflicht zur Sicherung der Geräte nicht wahr, nachdem Sie ihren Kunden die Möglichkeit nehmen, Sicherheitsupdates einzuspielen, die den Missbrauch der Fritzbox verhindern können? Ich muss also darum aktiv bitten, Sicherheitsupdates installiert zu bekommen?
Sie kommen also für eventuelle Schäden auf, habe ich das richtig verstanden?
Siehe: http://www.heise.de/newsticker/meldung/Fritzbox-Angriff-analysiert-AVM-bietet-erste-Firmware-Updates-an-2108862.html und http://www.heise.de/newsticker/meldung/Fritzbox-Hack-AVM-bietet-Updates-fuer-ueber-30-Modelle-2109372.html

Etwas später (keine Antwort bis 15:38):

Ich möchte im übrigen betonen, dass Sie mit dieser Praxis im Zweifelsfall gegen das allgemeine Persönlichkeitsrecht (im Sinne der „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“) gemäß des Urteils des Bundesverfassungsgerichts verstoßen können, da die Fritzbox ja gemäß Vertrag nur gemietet und von ihren Kunden in sehr eingeschränktem Maß administriert werden darf. Die Verantwortung für die Sicherheit der Box obliegt offensichtlich damit ihnen als Provider und Überlasser.
Ich gehe aus, dass dies nicht in Ihrem Interesse ist und erwarte eine Mitteilung über das Update an ihre Kunden in den nächsten Tagen.
Siehe: BVerfG, 1 BvR 370/07 vom 27.2.2008, Absatz-Nr. (1 – 333), http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html

Um 16:07  Uhr dann ein Update von M-Net:

Hallo …, bitte geben Sie mir Ihre Kundendaten an. Wir werden alles Mögliche machen um Ihnen weiterzu helfen. MfG [Name]

Ein weiteres Update dann kurz vor Feierabend (17:51):

Hallo …,

ich habe soeben die Information von der Technik erhalten, dass für die FRITZ!Box Modelle 7360 und 7390 neue Firmware Versionen von AVM erstellt wurden. Diese werden aktuell von der AVM und der M-net Qualitätssicherung intensiv getestet. Die Freigabe des Firmwareupdates wird für morgen erwartet. Das Update wird dann in den nächsten Tagen automatisch auf die Kundengeräte gespielt. Sie können uns gern Ihre Kundennummer mitteilen, dann werden Sie einer der ersten Kunden sein, die das Firmwareupdate erhalten.

Ich hoffe, dass ich Ihnen damit Ihre Fragen zufriedenstellend beantworten konnte und wünsche Ihnen noch einen schönen Abend.

MfG; ….

Letzte Mail von mir (10.02.2014):

Hallo …

vielen Dank, diese Mitteilung reicht mir, ich werde das ja die nächsten Tage dann erleben (ich gehe mal von max. 14 Tagen aus). Ich wüsste allerdings gerne, wie das in Zukunft in Punkto Kommunikation und Updatestratgie bei ihnen gehandhabt wird. Schließlich haben sie ja einen groben Überblick über ihre Kunden und welche bei solchen Updates betroffen sind.

So etwas proaktiv vorzubereiten und entsprechend zu kommunizieren stärkt gerade in Zeiten allgegenwärtiger Spionage und Computersabotage das Kundenvertrauen eher als es zu schwächen.

Das ich als Kunde hier den Eindruck gewinnen musste, dass mein Provider entweder unwissend ist oder das ganze einfach aussitzen will und mir als einzelnem das ganze anbieten will, anstatt ALLEN Kunden die entsprechend eigentlich notwendigen Sicherheitsvorkehrungen zukommen zu lassen, enttäuscht mich maßlos und führt dazu, dass M-Net im Zuge meiner Vertragsverlängerungen auf der Liste der in Frage kommenden Provider erstmal ganz nach hinten rutscht. Weiterempfehlen kann ich Sie damit guten Gewissens allerdings definitiv nicht mehr – allerdings wäre das mit der IPv6-Problematik in ihrem Haus auch nur in begrenztem Rahmen passiert – aber das führt hier zu weit.

mit freundlichen Grüßen…

Tags kam drauf dann noch eine Nachricht von M-Net:

Guten Morgen …,

seit Bekanntwerden der Hackerangriffe, haben wir die IP-Adressen, durch welche die Hackerangriffe erfolgten, gesperrt. Zusammen mit AVM haben wir an einem entsprechenden Update gearbeitet. Da unsere FRITZ!Boxen vorprogrammiert sind, müssen wir das Update von AVM modifizieren, sodass es passend ist. Dadurch sind wir ein paar Tage später dran als AVM selbst. Die interne Mittelung über das fertige Update kam gestern Nachmittag. Deswegen konnte Ihnen die Kollegin vorher noch keine andere Aussage machen. Die Updates werden in den nächsten Nächten automatisch allen Kunden mit einer FRITZ!Box 7360 oder 7390 aufgespielt.

Sollte in Zukunft wieder etwas dieser Art sein, wird genauso gehandelt wie in der jetzigen Situation.

MfG; …

Die Namen sind anonymisiert, da ich bei Facebook keinen Klarnamen verwende und die Support-Mitarbeiter die Update-Politik ihres Unternehmens nicht beeinflussen können.

Ich frage mich, ob den Providern das eigentlich nicht klar ist, dass – sollte der Router ein Netzbestandteil sein – sie auch für die Instandhaltung derselben sorgen müssen (wie bei einem Mietwagen). Damit wäre das Thema „Zwangsrouter“ dann unter Umständen schneller vom Tisch und/oder die Geräte wären endlich mal ordentlich betreut. Mit einem solchen Präzendenzfall könnten die Kunden nur gewinnen.

Mir ist bewusst, dass sich das Grundrecht in erster Linie auf den Eingriff von Staats wegen bezieht, aber: Die zitierten Absätze 203, 202, 206 und 233 lassen das allerdings auch auf privatrechtlicher Ebene interpretieren. Und die Ermöglichung eines Zugriffs durch außen durch Fahrlässigkeit ist sicherlich dann auch noch interpretierungswürdig. Aber ich bin ja kein Anwalt…

Weitere Infos zum IT-Grundrecht: