Die Vorratsdaten­speicherung wird den Kindesmissbrauch nicht verhindern

Nochmal zum Mitmeißeln: Wenn der Kindesmissbrauch in irgendwelchen Datenspeicherungssystemen aufschlägt ist es bereits zu spät. Aber Präventionsangeboten und Therapiemaßnahmen für Pädophile werden immer weiter die Mittel gekürzt. Hier wird ein Überwachungsstaat auf dem Rücken von Opfern aufgebaut.

M-Net und das IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Nachdem Heise und AVM vorbildlich reagiert haben und schnell Updates für betroffene Fritz!Boxen ausgespielt haben, liegt in meinem Fall bei M-Net:

Ich fragte also um 11:42 Uhr via Facebook:

Wann wird das Update für die Fritzboxen eingespielt, welches die Fernwartungs-Lücke schließt?

Darauf kam von M-Net folgende Antwort (12:48 Uhr):

Hallo …, das Update erfolgt nicht automatisch. Wenn Sie dieses wünschen, so können wir die neue Firmware gerne aufspielen. MfG [name]

Die Steilvorlage lasse ich mir natürlich nicht entgehen und frage um 12:57 nach:

Ich fasse das mal zusammen:
Sie zwingen ihre Kunden dazu, einen (rechtlich immer noch bedenklichen) Zwangsrouter zu nutzen, der ihre Kunden im großen und ganzen hauptsächlich einschränkt (keine anderen SIP-Provider, keine Updates), nehmen dann aber ihre Pflicht zur Sicherung der Geräte nicht wahr, nachdem Sie ihren Kunden die Möglichkeit nehmen, Sicherheitsupdates einzuspielen, die den Missbrauch der Fritzbox verhindern können? Ich muss also darum aktiv bitten, Sicherheitsupdates installiert zu bekommen?
Sie kommen also für eventuelle Schäden auf, habe ich das richtig verstanden?
Siehe: http://www.heise.de/newsticker/meldung/Fritzbox-Angriff-analysiert-AVM-bietet-erste-Firmware-Updates-an-2108862.html und http://www.heise.de/newsticker/meldung/Fritzbox-Hack-AVM-bietet-Updates-fuer-ueber-30-Modelle-2109372.html

Etwas später (keine Antwort bis 15:38):

Ich möchte im übrigen betonen, dass Sie mit dieser Praxis im Zweifelsfall gegen das allgemeine Persönlichkeitsrecht (im Sinne der „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“) gemäß des Urteils des Bundesverfassungsgerichts verstoßen können, da die Fritzbox ja gemäß Vertrag nur gemietet und von ihren Kunden in sehr eingeschränktem Maß administriert werden darf. Die Verantwortung für die Sicherheit der Box obliegt offensichtlich damit ihnen als Provider und Überlasser.
Ich gehe aus, dass dies nicht in Ihrem Interesse ist und erwarte eine Mitteilung über das Update an ihre Kunden in den nächsten Tagen.
Siehe: BVerfG, 1 BvR 370/07 vom 27.2.2008, Absatz-Nr. (1 – 333), http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html

Um 16:07  Uhr dann ein Update von M-Net:

Hallo …, bitte geben Sie mir Ihre Kundendaten an. Wir werden alles Mögliche machen um Ihnen weiterzu helfen. MfG [Name]

Ein weiteres Update dann kurz vor Feierabend (17:51):

Hallo …,

ich habe soeben die Information von der Technik erhalten, dass für die FRITZ!Box Modelle 7360 und 7390 neue Firmware Versionen von AVM erstellt wurden. Diese werden aktuell von der AVM und der M-net Qualitätssicherung intensiv getestet. Die Freigabe des Firmwareupdates wird für morgen erwartet. Das Update wird dann in den nächsten Tagen automatisch auf die Kundengeräte gespielt. Sie können uns gern Ihre Kundennummer mitteilen, dann werden Sie einer der ersten Kunden sein, die das Firmwareupdate erhalten.

Ich hoffe, dass ich Ihnen damit Ihre Fragen zufriedenstellend beantworten konnte und wünsche Ihnen noch einen schönen Abend.

MfG; ….

Letzte Mail von mir (10.02.2014):

Hallo …

vielen Dank, diese Mitteilung reicht mir, ich werde das ja die nächsten Tage dann erleben (ich gehe mal von max. 14 Tagen aus). Ich wüsste allerdings gerne, wie das in Zukunft in Punkto Kommunikation und Updatestratgie bei ihnen gehandhabt wird. Schließlich haben sie ja einen groben Überblick über ihre Kunden und welche bei solchen Updates betroffen sind.

So etwas proaktiv vorzubereiten und entsprechend zu kommunizieren stärkt gerade in Zeiten allgegenwärtiger Spionage und Computersabotage das Kundenvertrauen eher als es zu schwächen.

Das ich als Kunde hier den Eindruck gewinnen musste, dass mein Provider entweder unwissend ist oder das ganze einfach aussitzen will und mir als einzelnem das ganze anbieten will, anstatt ALLEN Kunden die entsprechend eigentlich notwendigen Sicherheitsvorkehrungen zukommen zu lassen, enttäuscht mich maßlos und führt dazu, dass M-Net im Zuge meiner Vertragsverlängerungen auf der Liste der in Frage kommenden Provider erstmal ganz nach hinten rutscht. Weiterempfehlen kann ich Sie damit guten Gewissens allerdings definitiv nicht mehr – allerdings wäre das mit der IPv6-Problematik in ihrem Haus auch nur in begrenztem Rahmen passiert – aber das führt hier zu weit.

mit freundlichen Grüßen…

Tags kam drauf dann noch eine Nachricht von M-Net:

Guten Morgen …,

seit Bekanntwerden der Hackerangriffe, haben wir die IP-Adressen, durch welche die Hackerangriffe erfolgten, gesperrt. Zusammen mit AVM haben wir an einem entsprechenden Update gearbeitet. Da unsere FRITZ!Boxen vorprogrammiert sind, müssen wir das Update von AVM modifizieren, sodass es passend ist. Dadurch sind wir ein paar Tage später dran als AVM selbst. Die interne Mittelung über das fertige Update kam gestern Nachmittag. Deswegen konnte Ihnen die Kollegin vorher noch keine andere Aussage machen. Die Updates werden in den nächsten Nächten automatisch allen Kunden mit einer FRITZ!Box 7360 oder 7390 aufgespielt.

Sollte in Zukunft wieder etwas dieser Art sein, wird genauso gehandelt wie in der jetzigen Situation.

MfG; …

Die Namen sind anonymisiert, da ich bei Facebook keinen Klarnamen verwende und die Support-Mitarbeiter die Update-Politik ihres Unternehmens nicht beeinflussen können.

Ich frage mich, ob den Providern das eigentlich nicht klar ist, dass – sollte der Router ein Netzbestandteil sein – sie auch für die Instandhaltung derselben sorgen müssen (wie bei einem Mietwagen). Damit wäre das Thema „Zwangsrouter“ dann unter Umständen schneller vom Tisch und/oder die Geräte wären endlich mal ordentlich betreut. Mit einem solchen Präzendenzfall könnten die Kunden nur gewinnen.

Mir ist bewusst, dass sich das Grundrecht in erster Linie auf den Eingriff von Staats wegen bezieht, aber: Die zitierten Absätze 203, 202, 206 und 233 lassen das allerdings auch auf privatrechtlicher Ebene interpretieren. Und die Ermöglichung eines Zugriffs durch außen durch Fahrlässigkeit ist sicherlich dann auch noch interpretierungswürdig. Aber ich bin ja kein Anwalt…

Weitere Infos zum IT-Grundrecht:

Das BMI will Zugriff auf IPv4-Daten, Anschlüsse und Cloud-Daten von Telekom-Unternehmen gesetzlich regeln

Vernünftiges Wahlrecht innerhalb von mehreren Jahren – nach Urteil des BVerfG – bekommt die Regierung nicht hin, aber innerhalb von 9 Monaten VDS als Backdoor in §113 TKG und StPO 100j zu implementieren um Anschlussinhaber von dynamischen IPv4-Adressen abzufragen und ausfindig zu machen – nach einem Urteil des BVerfG – geht.

Und der Entwurf geht noch weiter:

Im heise online vorliegenden Entwurf wird betont, dass die Auskunftspflicht auch für Daten wie PIN-Codes und Passwörter gilt, mit denen der Zugriff auf Endgeräte oder damit verknüpfte Speichereinrichtungen geschützt wird. Dies könnte sich etwa auf Mailboxen oder in der Cloud vorgehaltene Informationen beziehen. – heise.de

So viel, wie man darüber kotzen will, kann man gar nicht fressen. Und dass hier das BMI wohl den Stift führt und Überwachungs- und Allmachtsphantasien auspackt, ist auch wenig verwunderlich.

Andere Länder haben „firehose bruteforce attacks“, wir haben das BMI und die Telekommunikationsunternehmen. Fernmeldegeheimnis, wer braucht sowas schon? Transparenz gibt’s nur in Diktaturen, sagt Peer Steinbrück übrigens. So weit ist es also doch schon…

Der US-Kongress hat Angst vor IT-Spionage aus China…

Der Spiegel berichtet:

Spionagevorwürfe: US-Kongress warnt vor chinesischen IT-Konzernen – Spiegel.de

Vielleicht sollte man sich dabei dann auch gleich Gedanken um den Rest seiner IT-Hardware aus China, Hongkong, Korea und Co. machen. Denn wir haben beim „Staatstrojaner“ gelernt: In einer Blackbox kann man die Existenz von versteckten Funktionen niemals komplett ausschließen, diese können auch gut getarnt sein. Und Cisco wird sicher nicht nur in USA fertigen. Von den tollen Cloud-Management-Funktionen mal ganz abgesehen…

Und was Foxconn vielleicht an zusätzlichen Special-Features auf den iPhone- oder Android-Platinen vergräbt kann man nie wissen. Und ja, das kann auch genauso andere Telefone, Firmen und Hardware wie Notebooks betreffen.

Vor diesem Hintergrund ist auch Trusted Computing dann irgendwie sowas von für die Füße. Was bringt es, wenn ich die vom User kontrollierte Software bestimme, wenn die Hardware lustige Dinge machen kann?

In diesem Sinne sollte auch Computer- und Smartphone-Hardware mehr Open Source enthalten.

Bundeswehr im Inneren. Aber alles kein Grund zur Sorge…

[…], dass ein Bundeswehreinsatz ausschließlich in Katastrophen- und Unglücksfällen in Betracht gezogen werden kann, bei denen ein katastrophaler Schaden bereits eingetreten ist oder mit an Sicherheit grenzender Wahrscheinlichkeit droht.

Ich gehe davon aus, dass die „katastrophalen Ereignisse“ ähnlich konsequent und streng interpretiert werden wie bei der Voratsdatenspeicherung und der Autobahnmaut-Kennzeichen-Auslesung und in anderen Ländern bei Websperren.

Vor diesem Hintergrund finde ich eine Formulierung á la „wird sich hoffentlich in Zukunft an die geltende Verfassung halten“ mehr als unglücklich und die Pressemitteilung einen Schlag ins Gesicht für jeden Piraten, der den Menschen an Infoständen das Grundgesetz erklärt, und es dabei ernst meint.

Das Leistungsschutzrecht – Todesstoß für die deutsche Blogosphäre

Sollte der Gesetzesentwurf zum Leistungsschutzrecht angenommen werden, werde ich dieses Blog erstmal schließen, bis sich zeigt, was das Leistungsschutzrecht bewirkt und was nicht. Ich habe schon einmal eine sehr gewagte Abmahnung wegen eines angeblich ach so nachgemachten Logos bekommen, die mich 250 Euro Gebühren für einen Anwalt gekostet hat. Eine Unterlassungserklärung habe ich allerdings nie unterschrieben.

Zitate sind in Ordnung, aber wo das Zitatrecht nicht greift, greift dann automatisch das Leistungsschutzrecht? Das geht mir persönlich ein wenig zu weit. Und für diese wenigen Sätze, ich aus Artikeln bisher zitiert habe um sie abseits einer Moderation durch die Zeitung zu kommentieren, werde ich kein Geld zahlen. Stefan Niggemeier schreibt:

Sobald das Zitatrecht nicht greift, sind schon winzigste Bestandteile der Artikel durch das Leistungsschutzrecht geschützt. Womöglich reicht es schon, einen Link zu setzen, wenn in diesem Link der Wortlaut der Überschrift enthalten ist, wie es inzwischen meistens üblich ist, etwa so:

http://irights.info/?q=content/referentenentwurf-zum-leistungsschutzrecht-eine-erste-ausfuhrliche-analyse

Es mag schon sein, dass die Verlage diese Art der Nutzung gar nicht einschränken wollten. Es mag sein, dass das nur die Kollateralschäden des Versuchs sind, von den beneidenswerten Einnahmen der Suchmaschinenbetreiber zu profitieren.

Wenn dem so ist, werde ich mir ausführlich Gedanken machen, welchen Sinn und welchen Zweck die Publikation einer Webseite hat, die ich entweder extrem teuer bezahlen muss, die Seite bei Google unauffindbar sein muss, oder ich werde zu aktuellen Themen keine Stellung mehr beziehen und mein halbes Archiv auf „privat“ schalten.

Wenn ich überlege, wie viele Zeitungsartikel das Wort „und“ enthalten, welches dann ja auch ein LSR-geschützer Begriff sein könnte… Ich weiss, ich übertreibe, aber man siehe sich das Beispiel oben an. Wem das nicht reicht, der kann sich ja mal in das Thema „Kennzeichenscanning / LKW-Maut / Datenbank“ einlesen oder mal recherchieren, welche Anfragen zu „schweren Straftaten und Terrorismus“ bei der Vorratsdatenspeicherung wirklich zum tragen kamen. Oder die Einsatzgebiete des so genannten Staatstrojaners. Nur um mal das Verhältnis „könnten wir“ und „machen wir“ aufzuzeigen.

Ja, es ist pessimistisch. Ja, ich glaube wirklich, dass die Einführung eines solchen Gesetzes am Ende mit der vollen Härte und Breitseite trifft. Ja, ich bin überzeugt, dass ein Leistungsschutzrecht die Deutsche „Blogosphäre“ ziemlich beeinträchtigen wird, spätestens wenn der erste eine Abmahnung wegen dem LSR bekommen wird.

Ja, ich möchte meinen Kopf stundenlang auf eine Tastatur hauen und zufällige Substrings dieser Zeichenfolge mit dem Leistungsschutzrecht einklagen.

Nachtrag: Den auf Niggemeiers zitierten Beitrag folgenden „Leistungsschutzrecht: Eine Frage der Ehre?“ sollte man auch mal lesen. Nur um mal ein Gefühl dafür zu bekommen…