DSVGO oder GDPR?! Ganz Europa spricht im Moment davon. Ganz? Nein, das Land der HelvetierInnen hört nichts davon, weiss nichts davon, kümmert sich wie oft nicht darum, was jenseits der geistigen Barrikaden vor sich geht. Auf der Insel der Glückseligen, wo fremde Richter gerade Gefahr laufen, entmachtet zu werden, will sich niemand um fremde Gesetze kümmern. Ein solcher Erlass ist die EU-DSGVO. In der ungekürzten Version heisst er Europäische Datenschutz-Grundverordnung. Diese tritt am 25. Mai 2018 in Kraft und wird kräftig am vermeintlichen Unbeteiligtsein von Schweizer Firmen, Institutionen und Privatpersonen rütteln.
«EU-Was?!» kann uns doch gestohlen bleiben, denkt sich der Schweizer reflexartig. Wir sind nicht in der EU, wir wollen nicht in die EU, und überhaupt, die sollen uns in Ruhe lassen! Die Frage ist aber nicht, ob uns die EU behelligt, sondern eher, wie wir mit den Daten von EU-BürgerInnen umgehen. Die Personendaten ihrer BürgerInnen will die EU mit der Datenschutz-Grundverordnung auch im Ausland besser schützen. Diese Verordnung erstreckt sich auf alle natürlichen und juristischen Personen, die weltweit Daten von EU-BürgerInnen verarbeiten. Davon gibt es eben einige in der Schweiz: Personalvermittlungen, Arbeitgeber, Spitäler, Provider, Export-Firmen und eben auch all jene, die eine Webseite betreiben.
Drücken Sie «Enter»! Ab dem 25. Mai 2018 gilt die DSGVO alias GDPR. Bild Pixaby, Lizenz CC0.
Vor allem jene Schweizer Einrichtungen könnten betroffen sein, welche personenbezogene Daten von EU-BürgerInnen kommerziell verarbeiten, speichern, einordnen, zusammenführen und weitergeben. Bei diesen sensiblen Daten handelt es sich um Namen, Anschriften, Bewegungsprofile, Bewerbungsunterlagen, Anstellungsverhältnisse, Kundenlisten, Patientendaten und eben auch IP-Adressen, die beim Besuch einer Webseite in den Logs anfallen. Auch die Hürde zur kommerziellen Verarbeitung personenbezogener Daten ist sehr niedrig und schnell genommen. Dazu reichen Werbe-Einblendungen auf einer Webseite bereits aus. Doch wesentlich problematischer wird es, wenn Webseitenbetreiber BesucherInnen aus EU-Ländern einen Schwarm von Tracking-Technologien unterjubeln, die personenbezogene Daten in datenschutzrechtlich zweifelhafte Drittländer wie die USA exportieren. Viele Schweizer Medienportale mit Reichweite in die EU verwenden solche problematische Technologien.
Sie sollten über die Bücher gehen, denn allem Anschein nach meint es die EU mit dem Datenschutz ihrer BürgerInnen ernst. Mit der DSGVO will sie ihren BügerInnen die Hoheit über ihre persönlichen Daten zurückgeben. Sie verschafft Ihnen umfassende Auskunfts-, Lösch-, und Berichtigungsrechte gegenüber DatenverarbeiterInnen. Letztere werden auf der anderen Seite verpflichtet, ihre Datenverarbeitungstätigkeit zu dokumentieren, gegenüber den Betroffenen transparent kund zu tun und auf Anfragen zu reagieren. Neu gilt für Datenverarbeitungstätigkeiten das Prinzip von «Opt-In», das heisst, dass Betroffene eine ausdrückliche und vorgängige Einwilligung in die Verarbeitung ihrer Personendaten abgeben müssen. Das dürfte der Werbebranche, die sich bislang auf dem «Opt-Out»-Prinzip gesonnt hat, missfallen. Die DSGVO wird etliche an Illegalität grenzende Praktiken von Datensammlern und -verkäufern scharf sanktionieren und trockenlegen. Das ist zu begrüssen.
Inwiefern EU-BürgerInnen ihre neuen Datenschutzrechte auch gegenüber Schweizer DatenverarbeiterInnen geltend machen werden, wird die Zukunft zeigen. Auf jeden Fall zielt die DSGVO ganz klar darauf ab, diese Rechte auch gegenüber Firmen ausserhalb der EU-Grenzen durchzusetzen, also auch in der Schweiz. Im Fokus der Verordnung stehen vordergründig amerikanische Tech-Giganten wie Google, Facebook und Amazon, welche die Daten von EU-BürgerInnen im grossen Stil verarbeiten. Diese müssen sich verpflichten, die datenschutzrechtlichen Vorgaben der EU einzuhalten. Ansonsten drohen empfindliche Strafen. Alles deutet darauf hin, dass sich die IT-Riesen an die Verordnung halten werden. EU-BürgerInnen haben somit in naher Zukunft eine mächtige rechtliche Handhabe gegenüber internationalen Konzernen. Im Sinne des Rechts auf Vergessen wird eine EU-BürgerIn beispielweise gegenüber Facebook die Löschung sämtlicher personenbezogener Daten, die über sie gespeichert wurden, einfordern können. Diese Möglichkeit wird SchweizerInnen leider verwehrt bleiben, weil die DSGVO zwar unter gewissen Voraussetzungen gegen sie, aber gewiss nicht für sie gilt. Klartext: Schweizer BürgerInnen sind schlechtergestellt und gehören weiterhin der international vehökerbaren Datenmasse an.
Im Bezug auf die konkrete Umsetzung der DSGVO herrscht momentan in Europa und auch hierzulande heillose Verwirrung. Gerade kleine BetreiberInnen von Webseiten sind mit den hohen Anforderungen der DSGVO rechtlich und technisch überfordert. Sie entscheiden sich deshalb, ihr Blog oder ihre Webseite vom Netz zu nehmen, um sich keinen rechtlichen Risiken auszusetzen. Diese sind zweifellos vorhanden, da sich die DSGVO auf alle erstreckt, die personenbezogene Daten von EU-BürgerInnen verarbeiten, also auch auf WebseitenbetreiberInnen, welche lediglich die IP-Adresse ihrer BesucherInnen erfassen. Das ist bereits eine konkrete Datenverarbeitung. Kontrovers diskutiert wird auch, ob es nach Inkrafttreten der DSGVO noch zulässig sein wird, Content Delivery Networks (CDNs) oder Google Fonts einzubinden. Diese Inhalte stammen zu einem nicht unwesentlichen Teil aus Drittländern und bringen womöglich eine Verarbeitung personenbezogener Daten mit sich. Es bestehen also kurz vor der rechtskräftigen Einführung der Verordnung etliche Rechtsunsicherheiten, gerade für die BetreiberInnen kleiner Webseiten. Es bleibt zu hoffen, dass diese Unsicherheiten nicht zu einem wahrhaftigen Blog- und Webseiten-Sterben führen und sich Inhalte nicht bei den grossen, rechtlich und finanziell potenten Plattformen konzentrieren werden. Das Internet würde ärmer und die beabsichtigte Stärkung des Datenschutzes würde sich in das Gegenteil verkehren.
Die Stossrichtung der DSGVO stimmt. Aber eine präzisere Einschränkung der Geltung auf datenverarbeitende Firmen mit einem gewissen Mindestumsatz wäre für ein prosperierendes Internet zwingend notwendig gewesen. Von einer Stärkung des Datenschutzes würde auch die Schweiz und ihre BürgerInnen profitieren. Aber im Alleingang ist es unwahrscheinlich, einen starken Datenschutz international durchzusetzen. Die EU hat gegenüber internationalen Konzernen das notwendige Gewicht dazu. Eine Anlehnung der Schweiz an den EU-Datenschutz wäre unter diesen Umständen zu begrüssen. Das politische Klima in der Schweiz und der fehlende Rahmenvertrag mit der EU lässt eine Annäherung im Moment jedoch kaum zu. Die Auswirkungen der DSGVO werden auf jeden Fall auch in der Schweiz zu spüren sein. Ohne Panik gilt es vorerst, die künftige Rechtsprechung zu Einzelheiten der DSGVO aufmerksam abzuwarten und zu beobachten. Für nicht-kommerzielle WebseitenbetreiberInnen in der Schweiz und in der EU, die Personendaten im erlaubten Rahmen bearbeiten, sind die Risiken kalkulierbar. Datenverarbeitende Firmen mit Reichweite in die EU wiederum sollten sich schleunigst rüsten, um empfindliche Bussen zu vermeiden.
In der Schweiz aber schläft oder verweigert man. Die EU ist weit weg. Noch.
*Dieser Artikel ist keine Rechtsberatung. Er erhebt keinen Anspruch auf Vollständigeit oder Richtigkeit.*
Von Whatsapp auf Signal umsteigen!
|
#tldr: Es ist höchste Zeit zu hinterfragen, ob Whatsapp nicht mehr aus unserem Leben wegzudenken ist. Hinter der Kommunikations-Plattform Whatsapp steckt Facebook, ein IT-Konzern, dessen Geschäftsmodell darin besteht, mit den Daten seiner Nutzerinnen zu handeln. Der Datenskandal bei Facebook erschüttert das Vertrauen in Technologie-Giganten insgesamt und nachhaltig. Der Messenger Whatsapp ist schon wegen ihrer Besitzerin nicht mehr über alle Zweifel erhaben. Im Vergleich zu anderen Chat-Apps schneidet Whatsapp zudem nicht rosig ab. Vor allem eine App erweist sich im Bezug auf Sicherheit und Privatsphäre als überlegen: Der kostenlose Messenger «Signal».
Logo by Whatsapp, Facebook Inc.
Der von 1.3 Miliarden Menschen genutzte Messenger Whatsapp hat im Jahre 2016 Ende-zu-Ende-Verschlüsselung implementiert. Das bedeutet, dass nur Chat-Teilnehmerinnen die Inhalte der übermittelten Nachrichten sehen können. Selbst die Server von Whatsapp können die Nachrichten weder entschlüsseln noch mitlesen. Die Verschlüsselung beruht auf dem Verfahren von Open Whisper Systems. Dieses Verfahren gilt in der Sicherheits-Branche als äusserst sicher. Leider weist Whatsapp, welche von Facebook für 16 Milliarden Dollar aufgekauft wurde, beim Design wesentliche Schwachstellen auf, welche die Sicherheit der Nutzerinnen gefährden können.
Zum einen speichert Whatsapp (Facebook) auf ihren Servern die Metadaten der Chats. Somit kann weiterhin nachvollzogen werden, wer mit wem zu welchem Zeitpunkt kommuniziert hat. Diese Metadaten können mehr über die Nutzerinnen verraten, als wir auf den ersten Blick vermuten würden. Facebook ist eine gewinnorientiertes Unternehmen, welches von der Aus- und Verwertung von Daten lebt. Deshalb ist damit zu rechnen, dass sie diese Metadaten auswerten. Sie haben sich zwar durch die Implementierung von starker Verschlüsselung selber der Möglichkeit beraubt, auf die Inhalte der Whatsapp-Chats zuzugreifen. Dieser Umstand verdient angesichts der Tatsache, dass selbst Google bis heute keine sichere E-Mail-Kommunikation anbietet, eine gewisse Anerkennung. Google will konsequent mitlesen, auslesen, einordnen.
Das Leben und die Gesundheit sehr vieler Menschen hängt von sicherer Kommunikation ab.
Zum anderen legt Whatsapp beim Konkurrenten Google optional ein verschlüsseltes Backup an. Einen eigenen Server für die Sicherung zu verwenden, gehört nicht zum Funktionsumfang. Dieses Backup kann vorerst nicht ohne Weiteres entschlüsselt und verwertet werden. Wer direkten, physischen Zugang zu einem Smartphone hat, kann dieses Backup jedoch mittels einer Spezial-Software entschlüsseln. Womöglich genügt es bereits, ein Smartphone mittels Schadsoftware zu übernehmen und fernzusteuern. Geheimdienste und Hacker reiben sich die Hände. Wer sich denkt, er habe wieder einmal nichts zu verlieren, versetze sich kurz in die Lage von Regime-Kritikerinnnen in totalitären Regimen! Unter solchen Bedingungen ist sichere Kommunikation eine Frage von Leben und Tod, Freiheit oder Gefangenschaft. Das Leben und die Gesundheit sehr vieler Menschen hängt von sicherer Kommunikation ab. Angehörige westlicher Demokratien ignorieren diese überlebenswichtige Notwendigkeit allzu leichtfertig.
Wer Whatsapp weiterhin nutzen will, ist gut beraten, die Einstellung "zuletzt online" zu deaktivieren.
Eine weitere Schwachstelle von Whatsapp ist die Möglichkeit, die Aktivitäten von Nutzerinnen anhand der Information, wann eine Nutzerin "zuletzt online" war, auszulesen und mit den Aktivitäten anderer Teilnehmerinnen des Telefonbuches in Verbindung zu bringen. War das bislang nur mit aktiven Nachforschungen möglich, so existiert mittlerweile eine dreiste Stalking-App, welche diese Verfolgung von Freunden und Bekannten automatisiert. Daraus lassen sich Rückschlüsse auf das Privatleben und die Kommunkation anderer ziehen. Geht eine Beziehung gerade in die Brüche? Wer chattet mit wem zu später Stunde? Die Informationen, die man aus solchen Verknüpfungen ableiten kann, verletzen die Privatsphäre der Nutzerinnen erheblich. Obwohl auch diese Stalking-App nicht in der Lage ist, Inhalte von Chats mitzulesen, lassen sich aus diesen Metadaten sehr persönliche Informationen über die Beziehungen zwischen Freunden und Bekannten oder deren Gewohnheiten ableiten. Wer Whatsapp weiterhin nutzen will, ist gut beraten, die Einstellung "zuletzt online" zu deaktivieren. Doch Whatsapp kann problemlos durch sicherere Messenger-Apps ersetzt werden.
Signal bietet das eindrückliche Feature, dass sich Nachrichten nach einer vom Sender festgelegten Zeitdauer selber löschen.
Logo by Signal, Open Whisper Systems
Jene Organisation, welche die Verschlüsselungs-Technologie für Whatsapp entwickelt hat, bietet selber einen kostenlos verfügbaren Messenger an, der vieles besser macht als Whatsapp. Open Whisper Systems entwickelte den Messenger «Signal». Dieser Nachrichten-App verzichtet auf die Weitergabe und Speicherung von Metadaten. Telefonummern aus dem Adressbuch werden nicht an Server weitergegeben. Einzig für die Registrierung ist die einmalige Angabe der eigenen Nummer erforderlich. Die Verschlüsselung und der Programm-Code wurde in einem Peer-Review-Verfahren überprüft und gilt als sicher. Ein externes Backup der Chats gibt es nicht. Sollte das Telefon verloren gehen oder ersetzt werden müssen, können die Chatverläufe nicht wiederhergestellt werden. Aus Sicherheitsüberlegungen ist dieser Verzicht sinnvoll. Ferner bietet Signal das eindrückliche Feature, dass sich Nachrichten nach einer vom Sender festgelegten Zeitdauer selber löschen. Diese Nachrichten verbleiben lediglich im Gedächtnis des Empfängers. Hochsensible Informationen lassen sich somit weder von Hackern noch von Geheimdiensten rekonstruieren. Ja, auch die Strafverfolgungsbehörden bleiben aufgrund dieses «Killer-Features» aussen vor. Wie damit umzugehen ist, muss in separaten philosophischen Betrachtungen diskutiert werden.
Selbstvernichtendes Tape aus «Mission Impossible».
Signal bietet ferner verschlüsselte Telefonie an. Die App ist für alle grossen Mobil- und Desktop-Plattformen verfügbar und unmittelbar einsetzbar. Sie steht allen Interessenten als Open Source zur Verfügung, kann also von allen Experten eingesehen und auf Sicherheitslücken überprüft werden. Ein solches Sicherheits-Audit wurde durchgeführt mit dem Ergebnis, dass Signal aussergewöhnlich gut und sicher programmiert wurde. Renommierte Experten wie der Sicherheits-Forscher Bruce Schneier oder der Whistleblower Edward Snowden bürgen für die Sicherheit dieser App. Es gibt gute Gründe, diesen Menschen zu vertrauen. Einerseits wissen sie, wovon sie sprechen, andrerseits sind sie auf absolut sichere Kommunikation angewiesen.
Als Maxime der Technologie-Sicherheit gilt: Die Methoden und Algorithmen müssen offen, einsehbar und überprüfbar sein.
Der Fakt, dass Signal als offener Quelltext angeboten wird, wirkt einer feindlichen Übernahme oder Unterwanderung der ursprünglichen Programmierer entgegen. Sollte sich die Ausrichtung von Open Whisper Systems zum Nachteil der Nutzerinnen ändern, können andere den sicheren Entwicklungszweig weiterführen. Ferner fallen absichtlich im Quellcode eingebaute Fehler aufgrund des offenen Entwicklungsmodelles schneller auf. Als Maxime der Technologie-Sicherheit gilt: Die Methoden und Algorithmen müssen offen, einsehbar und überprüfbar sein. Proprietäre, nicht einsehbare Verschlüsselungs-Software gilt als Schlangenöl, ein Wundermittel, welches keine nachweisbare oder sogar eine schädliche Wirkung hat.
Werbung und Verschlüsselung schliessen sich aus.
Wenn sich hingegen bei Facebook das Geschäftsmodell ändert, könnte die Verschlüsselung von Whatsapp sehr schnell aufgeweicht werden. Dass genau dies eintreffen wird, ist gar nicht einmal so abwegig, denn schon lange herrscht bei Facebook Ratlosigkeit darüber, wie man die Millarden-Investition in Whatsapp endlich in klingende Münze verwandeln kann. Es wurde schon darüber nachgedacht, Whatsapp-Nutzerinnen personalisierte Werbung in die Chats auszuspielen. Wenn sich jedoch Facebook in verschlüsselte Chats einklinken will, muss die Verschlüsselung aufgehoben oder relativiert werden. Ein Festhalten an Verschlüsselung in Kombination mit Werbung kann nämlich nur bedeuten, dass diese zwischengeschalteten Werbe-Botschaften als kontextlos, absurd, aberwitzig bis beleidigend empfunden werden. Werbung und Verschlüsselung schliessen sich aus. Die Zukunft wird zeigen, wie Facebook Whatsapp ausserhalb der Verwertung von Metadaten zu monetarisieren gedenkt.
Der Umstieg auf Signal ist das Gebot der Stunde.
Es hat sich gezeigt, dass es auch abgesehen vom mangelnden Vertrauen in Facebook unzählige Gründe gibt, von Whatsapp auf Signal umzusteigen. Erschwerend bei diesem Umstieg kommt anfänglich hinzu, dass Signal noch nicht über die kritische Masse von Nutzerinnnen verfügt. Wer mit seinen Freundinnen sicher kommunizieren will, muss diese zuerst davon überzeugen, Signal zu installieren. Eine Möglichkeit ist, dieses Plädoyer für Signal zu teilen. Ferner sind alle aufgerufen, in ihrem nächsten Umfeld Überzeugunsarbeit für Signal zu leisten. Ein breiter Einsatz von Signal schenkt uns nicht nur mehr Sicherheit und Privatsphäre, sondern mindert unsere grosse Abhängigkeit von unberechenbaren US-Konzernen, welche mehr an Geld als am Wohl ihrer Kundschaft interessiert sind. Der Umstieg auf Signal ist das Gebot der Stunde.
Facebook — das Tschernobyl der Daten
|
#tldr: In der zweiten Hälfte des 20. Jahrhunderts konnten die Menschen die Gefahr, die von radioaktiver Strahlung ausging, nicht begreifen. Die tödliche Gefahr war unsichtbar. Der Reaktorunfall von Tschernobyl rief der Welt in das Bewusstsein, dass auch Unsichtbares lebensbedrohlich sein kann. Heute ist ein weiterer Supergau in vollem Gang, dessen Ursachen und Wirkungen wir vorerst weder sehen noch fassen können: Der Daten-Supergau. Der Facebook-Skandal um die Firma «Cambridge Analytica» muss zu einem Umdenken führen und rechtliche Konsequenzen haben.
Zwei Milliarden Menschen tummeln sich auf Facebook. Sie geben höchstpersönliche Informationen an ihre Freunde und Bekannte weiter und verbinden sich mit anderen Facebook-Nutzerinnen. Diese Dienstleistung wird ihnen scheinbar kostenlos zur Verfügung gestellt. Ohne sich darüber im klaren zu sein, bezahlen Nutzerinnen Facebook jedoch mit Ihren persönlichen Daten. Diese werden von Algorithmen bearbeitet, mit externen Daten kombiniert und zu einem hochpräzisen Personenprofil gebündelt.
Diese hochsensiblen Persönlichkeitsprofile werden nun aber nicht wie ein Schatz gehütet, sondern - auf Neudeutsch - monetarisiert, sprich an alle Interessenten verkauft.
Dieses Personenprofil enthält Einkommensklasse, soziale Stellung, beruflicher Werdegang, Vorlieben, Konsum-Gewohnheiten, sexuelle Orientierung, politische Ausrichtung, Einstellungen, Freunde, Alter, Familienangehörige, Wohnsituation, Nationalität, Bildung, Finanzen, körperliche und geistige Erkrankungen, Drogenabhängigkeit, Bewegungsprofile, biometrische Daten, Surf-History, Verhaltensmuster und Persönlichkeitsmerkmale. Facebook weiss mehr über ihre Nutzerinnen als sie selber. Diese hochsensiblen Persönlichkeitsprofile werden nun aber nicht wie ein Schatz gehütet, sondern - auf Neudeutsch - monetarisiert, sprich an alle Interessenten verkauft.
Das Schadenspotenzial dieses Profilhandels ist für die Konsumentinnen enorm.
Interessenten sind alle, die für diese Daten bezahlen wollen und können, sprich Staaten, Behörden, Banken, Versicherungen, Werbetreibende, Firmen, Parteien und Politiker. Ob diese Daten zu Gunsten der Konsumentinnen weiterwendet werden, darf bezweifelt werden. Vielleicht steigt plötzlich ihre Krankenkassenprämie. Vielleicht wählen sie plötzlich eine Partei, die Sie noch vor Monaten für unwählbar hielten. Vielleicht erhalten sie keinen Kredit oder keine Zusatzversicherung. Vielleicht kaufen sie plötzlich Dinge, die ihnen vor kurzer Zeit nichts bedeutet haben. Vielleicht wird ihnen die Einreise in ein Land verwehrt. Vielleicht werden sie aufgrund ihrer sexuellen Orientierung diskriminiert. Das Schadenspotenzial dieses Profilhandels ist für die Konsumentinnen enorm. Abnehmer für diese Daten könnten ferner auch Kreise mit kriminellen Absichten sein.
Wer nun noch glaubt als Facebook-Nutzerin mit einem Pseudonym nicht schon lange mit Klarnamen inklusive oben erwähnten «Zusatz-Informationen» bekannt zu sein, sollte schleunigst in sich gehen.
Das gewaltige Ausmass dieser Datenverarbeitung und -verwertung offenbart sich im Umstand, dass auch Daten über Menschen, die Facebook nicht nutzen, gesammelt werden. Es genügt auf Facebook erwähnt zu werden, um dort erfasst zu werden. «Shadow Profiling» wird diese Erfassung von unbeteiligten Dritten genannt. Facebook will schlicht und einfach alle Informationen über alle Menschen an sich reissen, verarbeiten und vergolden. Wer nun noch glaubt als Facebook-Nutzerin mit einem Pseudonym nicht schon lange mit Klarnamen inklusive oben erwähnten «Zusatz-Informationen» bekannt zu sein, sollte schleunigst in sich gehen.
Die Daten von Facebook-Nutzerinnen (und Unbeiligten) befinden sich in der freien Wildbahn und sind zum Abschuss freigegeben.
Die Gefahr, die von diesem Datenhandel ausgeht, betrifft jedoch nicht nur Einzelpersonen, sondern Staaten und Demokratien. Die Firma «Cambridge Analytica» soll zwecks Manipulation der US-Wahlen Millionen von Facebook-Profilen abgegriffen und verarbeitet haben, um damit Wählerinnnen gezielt zu beeinflussen. Hinter dieser Firma stehen Personen aus dem Umfeld des US-Präsidenten Trump als auch aus Russland. Der amerikanische Sonderermittler wird sich dem gewiss annehmen. Pikantes Detail: Diese Firma erhielt einen _akademischen_ Zugang zur Facebook-Schnittstelle (API). Es wäre jedoch falsch zu glauben, dass sich beim Datentopf «Facebook» nicht schon andere Firmen bedient hätten. Die Daten von Facebook-Nutzerinnen (und Unbeteiligten) befinden sich in der freien Wildbahn und sind zum Abschuss freigegeben.
Geschäftsgeheimnisse sowie Privatsphäre sind dort aufgehoben, nicht im Sinne von «gewahrt», sondern im Sinne von «annuliert».
Die Bedrohung für Datenschutz und Privatsphäre geht jedoch nicht nur von Facebook aus. Weitere Datenkraken wie Google, welches seinen Nutzerinnen hoch und heilig versprochen hat, nicht Böse zu sein («Don't be evil»), verfügen über ähnliches oder grösseres Schadenspotenzial. Es gibt nämlich keine Garantie dafür, dass diese Firmen nicht bankrott gehen oder von Aktionären, welche das Geschäftsmodell ändern, übernommen werden. Vielmehr gibt es eine grosse Wahrscheinlichkeit, dass eben dies früher oder später geschehen wird. Zudem haben wir es hier mit amerikanischen Konzernen zu tun, welche den US-Behörden und Geheimdiensten unter Geheimhaltung alle möglichen Daten herausgeben müssen. Wer - Private oder Firmen - mit vertrauenswürdigen oder sensiblen Daten arbeitet, sollte Google, Twitter, Facebook, Amazon, Microsoft und Apple unbedingt meiden. Geschäftsgeheimnisse sowie Privatsphäre sind dort aufgehoben, nicht im Sinne von «aufbewahrt», sondern im Sinne von «annuliert».
Den Konsumentinnen bleibt also einmal mehr nur, sich selber zu schützen.
Edward Snowden ist der Meinung, dass Facebook eine Firma ist, die zur Massenüberwachung geschaffen und als «Social Media» getarnt wurde. Wie der aktuelle Skandal zeigt, ist auch Massenmanipulation anhand der von Facebook gesammelten Daten in greifbare Nähe gerückt. Demokratische Politiker sollten sich dieser Problematik unverzüglich annehmen und strenge Regulierungen für Firmen, welche mit Personenprofilen handeln, fordern. Leider sind Staaten wie die Schweiz mehr mit der sinnlosen Überwachung der eigenen Bevölkerung als mit dem dringend notwendigen Schutz derselben beschäftigt. Den Konsumentinnen bleibt also einmal mehr nur, sich selber zu schützen. Dieser Schutz kann nur darin bestehen, sich - wenn möglich - von solchen Dienstleistungen für immer abzumelden. Wie aber will man sich von Google oder Apple abmelden, wenn man ein Smartphone der jeweiligen Firma besitzt? Die Abhängigkeit von diesen Konzernen ist grenzenlos. Das Internet muss deshalb von Grund auf überdacht und neu konzipiert werden.
Das Tschernobyl der Daten hat erst begonnen. Es ist Zeit aufzuwachen und die Augen nicht länger vor dieser neuen unsichtbaren Bedrohung unseres Lebens und unserer Demokratie zu verschliessen.
Businesses that make money by collecting and selling detailed records of private lives were once plainly described as "surveillance companies." Their rebranding as "social media" is the most successful deception since the Department of War became the Department of Defense.
Das Internet ist kaputt. Wir brauchen ein neues: Das Internext
#tldr:Dezentrale Netzwerke spriessen wie Pilze aus dem Boden. Sie haben das Potenzial, das alte, von Monopolen und Staaten beherrschte Internet zu ersetzen und den Teilnehmerinnen ihre Freiheit zurückzugeben.
Nimmt man heute den Zustand des Internets genauer unter die Lupe, kann man nur zum Schluss kommen, dass es kaputt ist, entstellt und zweckentfremdet wurde. Was einmal als ein Projekt von Akademikern, Forschern, Programmierern und Kreativen begann, wurde von wirtschaftlicher und staatlicher Seite zu einem Sumpf des Kommerzes, der Überwachung und Zensur umfunktioniert. Auf der wirtschaftlichen Seite bestimmen wenige grosse Konzerne die Geschicke des Internets. Allen bekannt dürften Google, Facebook, Microsoft, Apple und Amazon sein: übrigens alles US-Konzerne. Sie monopolisieren Daten, Datenströme, Inhalte, Werbung, sozioökonomische Personenprofile, und nicht zuletzt die technologische Weiterentwicklung, sprich die Zukunft des Internets. Leider sind die Konsumenten bequem genug, diesen Monopolisten ihre höchstpersönlichen Daten wie E-mails, Surf- und Suchverhalten und Dokumente in den Rachen zu werfen, da sie im Gegenzug von Gratis-Diensteistungen profitieren können. Diese Daten werden in Gold umgewandelt, indem sie verkauft, gehandelt, wiederverkauft, erweitert und schliesslich in Form von massgeschneiderter Werbung (targeted&tailored Ads) auf die Konsumenten zurückgeworfen werden. Ein Milliarden-Business, bei dem der Konsument nur verliert!
Die Unkosten dieser gigantischen Überwachung tragen selbstverständlich die Überwachten selber: der reine, absolute Wahnsinn!
Die staatlichen Akteure hingegen spielen «Cyberwar» und «Räuber&Police», verminen und verwanzen die freie Kommunikation und fördern mittlerweile aktiv die Schwächung der gesamten IT-Infrastruktur, indem sie durch den Einkauf von Sicherheitslücken einen Schwarzmarkt ankurbeln. Anders ausgedrückt: Staaten kaufen mit Steuergeldern Verbrecher-Software. Um Verbrecher zu jagen, werden die Dienste von Verbrechern in Anspruch genommen. Eine verquere Logik, die gewiss noch mit vielen abstrusen Politiker-Ausreden verziert wird. Ferner lassen Staaten - mittlerweile auch die Schweiz - einen flächendeckenden, unverhältnismässigen Überwachungsapparat auf die eigene Bevölkerung, die sich damit natürlich in Unkenntnis der Materie oder aus irrationaler Panik sogar einverstanden erklärt, los. Das BÜPF sorgt in der Schweiz dafür, dass ab dem 1. März 2018 sämtliche Verbindungsdaten aller Geräte und Nutzerinnenfür ein halbes Jahr gespeichert werden. Die Unkosten dieser gigantischen Überwachung tragen selbstverständlich die Überwachten selber: der reine, absolute Wahnsinn! Würde der Staat alle unsere zwischenmenschlichen Verbindungen und Kontakte in der Realität mitschneiden wollen, wären die Verantwortlichen schon lange aus den ihnen demokratisch übertragenen Positionen entfernt worden. Die Vorgänge im digitalen Raum verstehen die Menschen, welche schon mit der Bedienung ihres Smartphones überfordert sind, einfach nicht und folgen blind ein paar Wölfen im Schafspelz. So stehen wir vor der Tatsache, dass das Internet, die Grundlage unserer modernen Kommunikation, auch von staatlicher Seite komplett untergraben wurde. Beispielsweise möge jeder für sich selber beurteilen, ob die seit Jahren bestehenden, gravierenden Sicherheitslücken (Meltdown&Spectre) in modernen Prozessoren, Recheneinheiten eines jeden Computers, ein Produkt des Zufalls, der Fehlplanung oder der bewussten staatlichen Unterwanderung sind.
Die Menschen müssen die Kontrolle über ihre Kommunikation und ihre Daten zurückfordern und zurückerhalten.
Das Internet hat sich von seinem eigentlichen Zweck, der Kommunikation zwischen Menschen, entfernt, ist zu einem Selbstbedienungsladen und Handelsplatz von Personendaten verkommen. Facebook zum Beispiel, eine Plattform, die den Menschen die Möglichkeit bietet, Bilder, Interessen und Meinungen auszutauschen, verwertet und verkauft die Profile ihre Nutzerinnen an Werbe-Firmen oder sonstige Interessenten. Dem stimmen die Nutzerinnen natürlich zu, indem sie die Nutzungsbedigungen ungelesen akzeptieren. Facebook kennt ihre Teilnehmerinnen in- und auswendig, vielleicht besser als sie sich selber kennen. Ist das ein fairer Deal: Kommunikation vs. Verkauf des Personenprofils? Das ist eben die Kehrseite dieser zentralisierten und monopolisierten Kommunikationsplattformen. Die Nutzerinnen verkaufen sich eigentlich, ohne sich dessen bewusst zu sein. Wer ein Android-Smartphone besitzt, sollte sich einmal auf myactivity.google.com einloggen, um festzustellen, dass Google sein ganzes digitales und reales Leben protokolliert. Welche App wurde wann aktualisiert? Wo befand sich die Nutzerin? Wonach hat sie oder er gesucht? Diese Daten sind dort auf die Sekunde festgehalten. (Notiz: Achten Sie also auf ihre Login-Daten). Davon können staatliche Überwacher eigentlich nur träumen. Jedoch hat das alles tatsächlich nichts mehr mit jenem Internet zu tun, welches Tim Berners-Lee vor 27 Jahren entworfen hatte. An diesem Punkt muss ein Strich gezogen werden. Die Menschen müssen die Kontrolle über ihre Kommunikation und ihre Daten zurückfordern und zurückerhalten. Das ist in naher Zukunft möglich, ohne zentrale Monopolisten, ohne zentrale Dienste, ohne zentrale Server, ohne totale Preisgabe seines Lebens und seiner Seele.
Das nächste Netz gibt den Menschen die Kontrolle über ihre Daten und ihre Kommunikation zurück.
Es gibt mehrere Möglichkeiten, sich vor dieser absoluten Verfolgung und Kontrolle der Kommunikation zu schützen. Jedoch offenbaren diese Flicken am Ende nur, wie kaputt das Internet bereits ist. Deshalb ist es höchste Zeit, das Internet neu zu erfinden. Das nächste Netz gibt den Menschen die Kontrolle über ihre Daten und ihre Kommunikation zurück. Dabeit handelt es sich um keine realitätsferne Zukunftsvision, da die Technologien bereit sind, und unzählige Projekte für ein dezentrales, verteiltes und verschlüsseltes Internet in den Startlöchern stehen. Die Kerntechnologie, welche dieses Internet antreiben wird, ist die Blockchain. Dabei handelt es sich um eine verschlüsselte, nicht manipulierbare, verteilte Kette von Transaktionen oder Aktionen. Gepaart wird diese Technologie mit Bittorrent, Tor, DHT, Verschlüsselung, File-Splitting und verteilten Dateisystemen. Anbei ein kleiner Überblick über diverse Projekte, die das dezentrale Internet gestalten wollen. Darunter befindet sich übrigens auch das Solid-Projekt des «Internet-Erfinders» Tim Berners-Lee.
Die «alten» anonymen Netze: I2P Freenet Project (nicht zu verwechseln mit dem deutschen E-mail-Anbieter)
Eine Monetarisierung des neuen Internets kann nicht im Sinne der Nutzerinnen sein. Das findet im Moment schon zur Genüge statt.
Freilich ist nicht alles Gold, was glänzt. Viele dieser Projekte stecken noch in den Kinderschuhen. Andere derartige Projekte wiederum dienen zweifelsohne der Koppelung einer digitalen Währung an Dienstleistungen. Eine Monetarisierung des neuen Internets kann nicht im Sinne der Nutzerinnen sein. Das findet im Moment schon zur Genüge statt. Zudem müssen solche Projekte unbedingt offene Entwicklungen sein, damit die Kontrolle bei den Anwendern bleibt. Proprietäre Projekte sind nicht im Sinne eines offenen, freien Internets, weil damit eben wieder eine Zentralisierung und Monopolisierung des Internets einhergeht. Die Beurteilung, welche der obigen Projekte «Open Source» sind, sei dem Leser überlassen. Aufhorchen jedoch lässt, dass der verbreitete Browser Firefox die dezentralen Protokolle von IPFS, Dat und Secure Scuttlebutt in der Version 59 akzeptiert. Man darf deshalb gespannt sein auf zukünftige Erweiterungen, welche diese Protokolle einsetzen.
Dies stärkt den im heutigen Internet auf's Übelste aufgeweichte Daten- und Persönlichkeitsschutz.
Was sind nun jedoch die Vorteile eines dezentralen Netzes? Diese dezentralen Netze sind in erster Linie unglaublich zensur-resistent. Das wird weder demokratischen noch totalitären Staaten gefallen. Die Daten liegen eben nicht zentral auf einem Server bei einem Anbieter, sondern verschlüsselt und verteilt bei allen Teilnehmerinnen des Netzwerks. Webseiten und Dokumente werden kaum mehr zu entfernen sein, weil Hundertausende oder sogar Millionen von auf der ganzen Welt verteilten Menschen vom Netz genommen werden müssten. Daten werden eben auch redundant gespeichert, so dass der Verlust persönlicher Daten nahezu auszuschliessen ist. Ferner haben die Teilnehmerinnen eine verstärkte Kontrolle über ihre persönlichen Daten und darüber, was sie von sich preisgeben. Möglicherweise wird sogar eine Form der Anonymität oder Pseudonymität gegeben sein. Dies stärkt den im heutigen Internet auf's Übelste aufgeweichte Daten- und Persönlichkeitsschutz. Strafverfolgung wird dadurch auf jeden Fall nicht vereitelt, wie die Aushebung des Drogen- und Waffenportals «Silkroad» gezeigt hat. Solide, gezielte und althergebrachte Ermittlungsarbeit wird die unsinnige Massenüberwachung unschuldiger Bürgerinnen ersetzen müssen. Die Demokratie wird auf jeden Fall gestärkt. Für Urheber dürfte sich nicht viel ändern, da sie ja jetzt schon mit einer Flut von Urheberrechtsverletzungen konfrontiert sind. Die Verfolgung und Unterdrückung von Urheberrechtsverletzungen dürfte sich jedoch einiges schwieriger gestalten. Vielleicht führt dies zu einem Umdenken bei den Content-Anbietern, welche die Fans ihrer Produkte bislang als Feinde betrachteten.
Die gesellschaftlichen Folgen von dezentralen Netzen werden nicht unbedeutend sein und im besten Fall die eine oder andere Diktatur stürzen als auch «Demokratien auf Abwegen» stärken.
Willkommen im Überwachungsstaat Schweiz!
|
Ich heisse Sie ganz herzlich im Überwachungsstaat Schweiz willkommen! Seit dem ersten März 2018 dürfen Sie sich nun ganz sicher fühlen, denn die gesamte Kommunikation aller Terroristen und Verbrecher wird nun in der Schweiz lückenlos überwacht. Ganz nebenbei wird auch Ihre gesamte Internetkommunikation aufgezeichnet und für ein halbes Jahr gespeichert. Der Staat weiss nun, dass sie dieses «aufrührerische» Blog lesen. Fühlen Sie sich nun immer noch so sicher? Aber ja doch, wer ja nichts zu verbergen hat, hat auch nichts zu verlieren! Denken Sie nur einmal an unsere Firmen; die haben doch nichts zu verbergen. Oder vielleicht doch? Firmengeheimnisse? Gut, der Überwachungsstaat Schweiz garantiert uns, dass er keine Inhalte durchschnüffelt. Nein, er lässt ja nur Meta- und Verbindungsdaten speichern. Kaum ist das neue BÜPF in Kraft getreten, zeigen Recherchen des Schweizer Fernsehens, dass die Provider jedoch viel mehr speichern, nämlich die gesamte Surf-History von Internetanwendern. Somit lässt sich lückenlos nachvollziehen, wer was wo wann und wie aufgerufen hat, also auch Inhalte, sofern sich diese in keinem geschützten Bereich befinden. Das betrifft die grosse Mehrheit aller Internet-Inhalte, welche heute "zum Glück" mit permanenten Adressen versehen sind, d.h., sie verschwinden nicht einfach so.
I see you, I hear you, I'm interested in you.
Kaum hat der Europäische Gerichtshof (EUGH) die anlasslose Vorratsdatenspeicherung gekippt, stürzt sich die Schweiz in das aussichtslose Abenteuer der flächendeckenden Überwachung. Alle Internet-Nutzerinnnen sind nun auf dem Radar der staatlichen Überwachung angekommen. Alle? Nein, Technologie-Versierte können sich dieser Überwachung mit Leichtigkeit entziehen. Diese Technologien stehen auch Otto Normalverbraucher zur Verfügung. Dazu später mehr. Die Überwachung trifft also zuallerst einmal die grosse Mehrheit der unbedarften Internet-Surfer. Die Verbindungsinformationen von Herrn oder Frau Musterbürger, die manchmal klammheimlich ihren Sex-Fantasien auf dem Internet nachgehen, sind nun nachvollziehbar gespeichert. Wer dort die dünnne Linie überschreitet, könnte schon bald Probleme bekommen. Sie fühlen sich jetzt gewiss immer noch sicher vor den bösen Terroristen, die auf dem Internet Anschläge planen, oder vor den fiesen Hacker-Verbrechern, welche die IT-Infrastruktur des Bundes angreifen. Wir haben anscheinend schon vergessen, dass es für solche Planungen gar kein Internet braucht. Tatsächlich gibt es noch - wir staunen - die Offline-Kommunikation.
Jetzt klebt ihnen der eigene Staat sprichwörtlich am Arsch.
Konsequenterweise müsste der schweizerische Total-Überwachungsstaat also sämtliche Offline-Verbindungs-Daten aller Schweizerinnen registrieren: Blocher trifft Mörgeli am Mittwoch, dem 14. März 2018, um 19:15 Uhr in der Kronenhalle in Zürich (Typ: Verbindungsdaten) - zwecks Besprechung einer Doppelkandidatur für den Bundesrat (Typ: Inhaltsdaten). Beruhigen Sie sich gleich wieder: das war nur ein fiktives Beispiel. Aber warum überwacht denn unser Staat all diese potenziell konspirativen und mutmasslich terroristischen Offline-Aktivitäten nicht mit aller Härte, wie das doch auch im Internet schon praktiziert wird? Es gibt zwei Antworten auf diese Frage. Erstens ist es nicht möglich und zweitens würde eine solche Überwachung den Schweizerinnen zu weit gehen. Im Internet ist diese Totalüberwachung jedoch technisch einfach zu realisieren. Zudem scheinen die Schweizerinnen diesen Eingriff in ihre digitale Privatsphäre hinzunehmen, obwohl sich ihre Kommunikation heute grösstenteils im Internet abspielt. Gut, die Stimmbürgerinnen haben es so - oder nicht anders - gewollt. Jetzt klebt ihnen der eigene Staat sprichwörtlich am Arsch. Ja, diese Formulierung trifft es. Immerhin betrifft diese Total-Überwachung auch die Law&Order-Fraktion, welche manchmal mehr zu verbergen hat, als wir gemeinhin annehmen. Da lohnt sich manchmal nur schon ein Blick in geleakte Datenbanken, z.B. in jene von Ashley Madison (Washington Post, engl.).
Wer halt nichts zu verbergen hat, hat halt auch nichts verlieren, oder?
"Den Luxemburger Richtern zufolge greift die Speicherung von Telekommunikationsdaten so sehr in das Grundrecht auf Achtung des Privatlebens ein, dass die Datenspeicherung „auf das absolut Notwendige“ beschränkt werden muss." (Zitat: faz.net)
Wieder verfalle ich und Sie in ungläubiges Staunen: Die Europäer schützen ihre Bürger besser als wir Schweizer. Wir Deppen hingegen beschneiden unsere Grundrechte freiwillig auf demokratischer Basis. Gut, das muss man als Demokrat akzeptieren. Sicher werden Sie es auch akzeptieren, wenn der grosse Bruder aus Übersee an die Türe klopft und die Herausgabe von Daten verlangt. Keine Sorge, wir werden nicht Nein sagen. Sicher werden Sie es auch akzeptieren, wenn eine Hacker-Gruppe die halbe Schweiz de-anonymisiert und ihre Verbindungsdaten offenlegt. Wer garantiert Ihnen, dass genau dies nicht geschieht? Der Überwachungsstaat Schweiz auf jeden Fall garantiert das nicht, zumal er die Daten ja bei privaten oder halb-privaten Providern erheben lässt. Fühlen Sie sich noch immer sicher vor Terroristen und Online-Verbrechern? Wer halt nichts zu verbergen hat, hat halt auch nichts verlieren, oder? Sind Sie schon ein bisschen unsicher geworden? Empfinden Sie schon ein gewisses Unbehagen dem Staat gegenüber? Gut, dann schauen wir weiter.
Wir haben unsere Freiheit einer trügerischen Sicherheit geopfert.
Unsere digitale Wirtschaft, die nun im Kanton Zug soeben zum Cryptocurrency-Eldorado werden möchte, preist gerne die Sicherheit ihrer Infrastruktur an. Damit ist nun leider Schluss, denn der Staat kann nun von jedem Anbieter von Telekommunikations-Dienstleistungen die Erhebung und Herausgabe von Verbindungsdaten verlangen. Organisationen und Firmen, welche ihre berechtigten Geheimnisse Schweizer Firmen anvertrauen möchten, werden es sich jetzt zwei Mal überlegen. Standortvorteile, ganz zu schweigen von unseren Grundrechten, haben wir also auch gleich einer zweifelhaften Sicherheit geopfert. So, jetzt sollten wir langsam an den Punkt gekommen sein, an dem wir feststellen, dass wir einen riesigen Fehler gemacht haben: Wir haben unsere Freiheit einer trügerischen Sicherheit geopfert. Ja, diese Sicherheit ist trügerisch, denn ich zeige Ihnen nun, wie Terroristen oder auch Sie als unbescholtene Bürgerin dieser Überwachung spielend und legal entgehen können. Wenn Sie Ihre Privatsphäre zurück haben wollen, lesen Sie weiter! Nein, das ist keine Anleitung zu Straftaten, nein, das ist digitale Selbstverteidigung für rechtskonforme Bürgerinnen.
Surfen Sie in einem öffentlichen Netz! Easy 😉
Nutzen Sie den Tor-Browser. Er anonymisiert ihre IP-Adresse. Empfohlen gerade oder auch in öffentlichen Netzen.
Betreten Sie ganz legal das Dark Web mit I2P oder freenetproject.org. Das sind getarnte und verschlüsselte Netze auf der bestehenden Internet-Infrastruktur. Dort lässt sich ganz legal und sicher kommunizieren. Verbrechen sind dort natürlich auch möglich, aber damit wollen wir nichts zu tun haben, wie im richtigen Leben halt.
Für ein bisschen Fortgeschrittenere: Nutzen sie die tor-basierte Linux-Distribution Whonix in virtuellen Maschinen auf einem dedizierten Computer. Da gucken Überwacher wirklich in die Röhre. Da spielt es fast keine Rolle in welchem Netz Sie sich bewegen. Edward Snowden empfiehlt die Linux-Distribution «Tails».
Mieten Sie sich ein VPN bei einem vertrauenswürdigen Anbieter! Ihre Aktivitäten lassen sich nicht nachvollziehen. Anmerkung: Schweizer VPN-Anbieter müssen nun natürlich Verbindungsdaten erheben. (Ade Standortvorteil!) Wichtig: Meiden Sie den Gratis-VPN-Anbieter hola.org. Er macht Sie ungefragt zu einem Exit-Knoten, der ihre IP-Adresse mit den Handlungen anderer in Verbindung bringt.
Nutzen Sie das relativ neue Zeronet in Verbindung mit Tor. Die Daten sind überall und nirgends. Ziemlich kreativer Ansatz, der die Anfänge eines dezentralen Netzes ohne Server skizziert! Horror für Überwachungs-Freaks.
Nutzen Sie für vertrauliche Kommunikation einen sicheren verschlüsselten Messenger auf ihrem Mobilgerät. Nein, Whatsapp ist nicht sicher, Skype ist nicht sicher. Nutzen Sie: Signal, Telegram oder Threema. Bei letztem Messenger muss man jetzt leider, leider sagen: Achtung, Standort Schweiz! Etliche vielversprechende Messenger-Apps sind in Arbeit.
Am besten leiten Sie die ganze Kommunikation Ihres Mobilgerätes über Tor oder ein VPN Ihrer Wahl.
Achten Sie bei Webseiten darauf, dass die Verbindung verschlüsselt über HTTPS hergestellt wird.
Deaktivieren Sie Plug-Ins wie Adobe Flash. Diese Software ist unsicher und fehlerhaft. Videos können heute ohne dieses Plug-in abgespielt werden. (Der Tor-Brower schliesst solche Lücken von Vorherein aus.)
Zum Schluss: INFORMIEREN SIE SICH ÜBER DIE SOFTWARE, DIE SIE EINSETZEN! Vertrauen Sie weder mir noch den Anbietern von Software blind.
So, nun sind Sie einigermassen vor staatlicher Verfolgung geschützt. Merken Sie sich ferner: Sollten Geheimdienste oder Hacker gezielt auf ihre Geräte zugreifen wollen, können Sie sich dagegen nahezu nicht wehren. Gehen Sie nun trotzdem ganz anonym und entspannt Ihrer ehrlichen Arbeit nach. Noch was: Wenn Sie wissen wollen, wie Sie sich gegen die penetrante Online-Werbe-Industrie schützen können, lesen Sie meinen letzten Beitrag.
Ansonsten viel Spass im Überwachungsstaat!
Online-Werbung ist doch nicht schlimm!
|
Das Lamento der Online-Verlage, dass sie sich nur über Werbung finanzieren können, wurde inzwischen so oft gebetsmühlenartig wiederholt, dass der unbedarfte Internetnutzer dieser Branche schon fast Mitleid entgegenbringt. Was soll denn schon schlimm sein an den blinkenden, flächendeckenden, animierten und ablenkenden Werbeeinblendungen auf Webseiten, wenn diese den Verlagen ermöglichen, qualitative Inhalte kostenlos anzubieten? Eine genauere Betrachtung der Problematik von Online-Werbung offenbart jedoch schnell, dass die sichtbaren Werbebanner nur die Spitze des Eisberges sind.
Hinter diesem sichtbaren Störfaktor «Werbung» lassen Online-Verlage eine Armada von Tracking- und Profiling-Skripten auf die Leser und Konsumenten los. Das heisst, dass ungefragt Daten über Internetnutzerinnen erhoben und auf Servern von Tracking- und Profiling-Firmen zusammengeführt werden. Bei den erhobenen Daten handelt es sich noch nicht um Namen und Anschriften, sondern um eindeutige einer Internetnutzerin zuzuordnende Informationen. Ein digitaler Fingerabdruck wird erstellt, der Surf- und -Kosumgewohnheiten einer Person nahezu flächendeckend erfasst, da fast alle grossen Content-Anbieter dieselben Werbe- und Tracking-Netzwerke einbinden. Die Zusammenführung solcher hochsensibler Daten mit Klarnamen ist die brutal-logische Konsequenz einer Branche, deren Geschäftmodell auf der Missachtung des Datenschutzes und des Schutzes der Privatsphäre aufbaut.
Beim Aufruf von tagesanzeiger.ch werden diese Tracking- und Werbe-Netzwerke über Ihre Anwesenheit informiert.
Angesichts solcher Verfolgungs-Praktiken ist es ein Hohn, dass die EU die Betreiber von Webseiten vor der Verwendung von Cookies warnen lässt. Auch das eingangs erwähnte Klagelied der Online-Verlage kann nur noch als heuchlerisch und verlogen bezeichnet werden. Sie verkaufen und verraten ihre Leser schamlos, ohne ihnen auch nur den geringsten Hinweis darauf zu geben. Allem Anschein nach haben Content-Anbieter, welche solche Werbe- und Tracking-Netwerke einbinden überhaupt keine Kontrolle darüber, welche Daten zu welchem Zweck erhoben werden und wie diese verarbeitet werden. Sie haben darüber hinaus auch keine Kontrolle über die Inhalte, welche von Werbe-Netzwerken auf ihren Seiten ausgespielt werden.
Darin besteht neben der Preisgabe von hochsensiblen Informationen die zweite Gefährdung von Internetnutzerinnen. Werbenetzwerke liefern mitunter auch Skripte aus, welche die Sicherheit von Internetnutzerinnen kompromittieren, da diese Skripte Sicherheitslücken in Browsern ausnützen und Geräte infizieren können. Über mit Werbe-Einblendungen ausgelieferte Skripte wurde in der Tat bereits Schadsoftware verbreitet. Die Konsequenz dieser Angriffe auf die Sicherheit und Privatsphäre von Internetnutzerinnen kann nur digitale Selbstverteidigung heissen.
Mit kleinen Erweiterungen des Browsers können Internetnutzerinnen sich vor einer Kompromittierung ihrer Person und Geräte schützen. Dabei ist es entscheidend, die richtigen Erweiterungen zu installieren, da hinter manchen dubiose Firmen mit kommerziellen Geschäftsmodellen stecken. Nachfolgend werden drei dieser Browser-Anwendungen vorgestellt, die im Zusammenspiel bereits einen starken Schutz vor Verfolgung und Infizierung bieten. Ein schlechtes Gewissen ist bei der Installation dieser Erweiterungen angesichts der dreisten Praktiken von Online-Verlagen und Werbe-Netzwerken beileibe nicht angebracht. Die vorgestellten Erweiterungen stehen für alle modernen Browser zur Verfügung.
1. Browser-Erweiterung «Disconnect»
Das Browser-Addon «Disconnect»
Die Erweiterung «Disconnect» unterbindet die Kontaktaufnahme mit Werbe- und Tracking-Netzwerken. Die Auslieferung von Tracking-Skripten und Werbe-Inhalten an den Browser wird blockiert. Ferner gibt diese Erweiterung Auskunft über die auf der jeweiligen Webseite blockierten Verfolgungs- und Werbe-Netzwerke und kann diese graphisch darstellen (sh. obige Illustration).
Diese Erweiterung steht für Chrome, Firefox, Opera und Vivaldi zum Download und zur unmittelbaren Installation bereit.
2. Browser-Erweiterung «uBlock Origin» (Hot)
Das Browser-Addon «uBlock Origin»
Die Erweiterung «uBlock Origin» verhindert die Anzeige von Werbung äusserst effizient und blockiert Tracking- und Werbe-Netzwerke. Diese Erweiterung ist Open Source und kann deshalb von allen Interessierten eingesehen und weiterentwickelt werden. Als für Online-Verlage fatale Zugabe umgeht «uBlock Origin» die Sperren von Adblockern auf allen Webseiten, die zur Deaktivierung von Adblockern auffordern.
Diese Erweiterung erzwingt sichere, verschlüsselte Verbindungen zu Webseiten, sofern diese zur Verfügung stehen. Eine HTTPS-Verbindung stellt sicher, dass zwischengeschaltete Server weder mitlesen noch übertragene Daten manipulieren können. Eine HTTPS-Verbindung ist zum Beispiel für Online-Banking zwingend notwendig.
Diese Erweiterung steht für Chrome, Firefox, Opera und Vivaldi zum Download und zur unmittelbaren Installation bereit.
4. Zugabe: Schutz gegen Canvas- und Audio-Fingerprinting
Fingerprinting-Technologien zur eindeutigen Erkennung von Internetnutzerinnen
Neue Tracking-Methoden versuchen, eindeutige System-Konfigurationen über den HTML-Standard «canvas» zu erfassen und diese einer Nutzerin zuzuordnen. Dagegen schützen zahlreiche Erweiterungen mit unterschiedlichen Herangehensweisen. Interessierte suchen auf den Addon-Seiten des jeweiligen Browser-Hersteller nach dem Stichwort «Fingerprinting». Firefox-Nutzerinnnen wird an dieser Stelle das Addon "Canvas Fingerprint Defender" empfohlen.
Ferner werden auch eindeutige Audio-Signaturen von Internetgeräten ausgewertet und Nutzerinnen zugeordnet. Firefox-Nutzerinnen wird an dieser Stelle das Addon "AudioContext Fingerprint Defender" empfohlen.
FAZIT
Mit kleinen Erweiterungen können sich Internetnutzerinnen vor Verfolgung, lästiger Werbung und der Kompromittierung ihrer Geräte schützen. Es gibt dabei weder rechtliche noch moralische Bedenken angesichts des Grossangriffs auf den Datenschutz und die Privatsphäre. Im Endeffekt müssen Konsumenten sich aus Notwehr gegen solche Angriffe wehren können. Mit den obigen Browser-Erweiterungen kann mit wenigen Klicks eine starke Privatsphäre wiederhergestellt werden. Es ist zu hoffen, dass Online-Verlage im Bezug auf Werbung und Tracking irgendwann zur Vernunft kommen. Bis dahin ist digitale Selbstverteidigung Pflicht und Notwendigkeit.
Redtube-Massenabmahnungen: Ein Betrugsfall von internationalem Ausmass?
Die in der Schweiz registrierte Firma «The Archive AG» mahnt in Deutschland durch die Anwaltskanzlei «Urmann + Collegen» Zehntausende Deutsche mit dem Vorwurf ab, ihre Urheberrechte an mehreren auf dem Porno-Portal Redtube zum Download verfügbaren Porno-Filmen verletzt zu haben. Diese mittlerweile nicht mehr verfügbaren Porno-Filme wurden als sogenannter Daten-Stream zum Download angeboten. Das Anschauen eines solchen Streams ist nach geltender deutschen Rechtslehre keine unerlaubte Kopie, da aus technischer Notwendigkeit nur Teile des Films auf dem Computer des Betrachters zwischengespeichert werden. Umso erstaunlicher ist es, dass das Landesgericht Köln auf Antrag der Abmahnkanzlei «Urmann + Collegen» die Anschlusshaber der IP-Adressen ermitteln liess. In diesem Zusammenhang stellt sich die Frage, ob das Landesgericht Köln einfach nur aus beschämender Unkenntnis handelte oder aber getäuscht wurde. Von emminenter Bedeutung ist auch die Frage, wie die Schweizer Firma «The Archive AG» an die IP-Adressen der mutmasslichen Porno-Konsumenten gelangte. «The Archive AG» hat dazu angegeben, die us-amerikanische Firma itGuards Inc. mit der Erhebung der IP-Adressen beauftragt zu haben. »itGuards Inc.» habe mit einer ominösen Software namens GladII 1.1.3 die IP-Adressen der vermeintlichen Urheberrechtsverletzer ausfindig gemacht. Aus technischer Sicht ist dies absolut unglaubwürdig, da es sich bei Daten-Streams nicht um Dateien handelt, welche in Tauschbörsen öffentlich angeboten werden. Die IP-Adressen von Stream-Betrachtern können deshalb nur auf vier möglichen Wegen beschafft worden sein.
Ein Mitarbeiter von Redtube oder Redtube selber hat die Daten verkauft.
Eine Software kompromitiert den Server, stiehlt die Logfiles oder loggt selber mit.
Eine Software kompromitiert den Computer des Stream-Konsumenten und protokolliert dessen Aktivitäten.
Durch Zwischenschaltung eines IP-loggenden Servers werden die IP-Adressen der Konsumenten erfasst.
Die erste Möglichkeit ist, wie die nähere Betrachtung der Akteure zeigen wird, nahezu auszuschliessen. Die Möglichkeiten 2 und 3 wären in fast allen beteiligten Ländern strafrechtlich relevant. Es ist unwahrscheinlich, dass sich die Rechteinhaber auf dieses gefährliche Glatteis gewagt haben. Es gibt mittlerweile klare Indizien, dass hier die Methode 4 angewandt wurde und die IP-Adressen mit einem sogenannten Man-In-The-Middle-Angriff in Verbindung mit einer Weiterleitung abgegriffen wurden. Wie die Erhebung der IP-Adressen im Detail abgelaufen sein könnte, wird später errötert. Zuerst wird das Augenmerk auf die beteiligten Akteure gerichtet. Daraus lassen sich einige Erkenntnisse gewinnen. Update vom 19. Dezember 2013: Die Kommentare zu diesem Artikel wollen diese Herangehensweise nicht widerspruchslos gelten lassen. Update vom 24. Dezember 2013: Die Abmahnwelle erregt die Aufmerksamkeit des deutschen Datenschutzbeauftragten. Update vom 24. Dezember 2013: Ausführlicher Beitrag zu den technischen Aspekten der Überwachung eines Portals. Update vom 8. Januar 2014: Die deutsche Bundesregierung vertritt den Standpunkt, dass das Betrachten von Streams keine Urheberrechtsverletzung darstellt, will aber eine Entscheidung des Europäischen Gerichtshofes abwarten [Link auf heise.de]. Der Politikerin der Linken, Halina Wawzyniak, geht diese Position zu wenig weit [Link auf golem.de].
Update vom 18. Januar 2014: Lage Schweiz
In der Schweiz sind gemäss einem Bericht des Beobachters noch keine Strafanzeigen eingegangen. Dies ist nicht weiter erstaunlich, da nur Deutsche von der Abmahnwelle betroffen sind. Dies könnte sich jedoch ändern, wenn ein Betroffener kurzfristig seinen Wohnsitz in die Schweiz verlegen und bei den hiesigen Behörden im Kanton Zürich Anzeige erstatten würde. Die «guten» Anwälte aus Deutschland und der Schweiz könnten bei den Formalitäten behilflich sein. Auf jeden Fall ist die Abmahnwelle beim Eidgenössischen Datenschützer zur Kenntnis genommen worden. Der Fall werde geprüft, wie der findige Jounalist des Beobachters, Michael Küng, berichtet. (Anmerkung des Autors: Ich hoffe, Dir hat das Bier geschmeckt.) Nachtrag: Den Zürcher Behörden scheint zu entgehen, dass gewerbsmässiger Betrug nach Art. 146 Abs. 2 STGB ein Offizialdelikt ist und von Amtes wegen verfolgt werden muss. Wenn die Schweizer Behörden in diesem Fall den Straftatbestand des Betruges nicht hinreichend erfüllt sehen, könnte die Lektüre dieses Dossiers den Zuständigen auf die Sprünge helfen. Nachtrag: Auch der Schweizer Lanbote berichtet, dass sich die Schweizer Behörden nach wie vor im Winterschlaf befinden.
Die Akteure
«Redtube», USA
Redtube ist ein Portal für Porno-Filme. Auf eine Verlinkung dieses Portals wird bewusst verzichtet. Da diese Firma an den DMCA gebunden ist, scheint sie ihren Sitz in den USA zu haben. Dieses Portal ist durchaus mit Googles Youtube zu vergleichen. Redtube bietet Filme für Erwachsene an. Das Geschäftsmodell besteht darin, mit Werbung und Weiterleitungen zu kostenpflichtigen Sex-Angeboten Geld zu verdienen. Redtube hat mittlerweile versichert, dass sie keine IP-Adressen verkaufen. Diese Aussage ist durchaus glaubhaft, da Redtube daran interessiert ist, möglichst vielen Konsumenten einen vertrauenswürdigen Rahmen zu bieten. Wenn sich die Konsumenten nicht mehr sicher fühlen, werden sie dem Angebot fernbleiben. Daran ist Redtube definitiv nicht interessiert. Deshalb hat der Vizedirektor von Redtube bereits rechtliche Schritte angekündigt. Es bleibt die Möglichkeit, dass ein Mitarbeiter von Redtube, welcher sein Gehalt aufbessern wollte, die IP-Adressen verkauft hat. Auch diese Möglichkeit wird sicherlich geprüft werden müssen. Ein interessanter Fakt ist, dass Verletzungen von Urheberrechten dem Portal jederzeit mitgeteilt werden können. Dies führt zu einer Löschung des betreffenden Films. Sehr erstaunlich ist, dass die «The Archive AG» als Rechteinhaber nicht von dieser Möglichkeit Gebrauch gemacht hat und eine viel umständlichere, aber auch lukrativere Vorgehensweise gewählt hat. Update vom 17. Dezember 2013: Redtube ist gemäss vorherrschender Meinung nicht als offensichtlich illegale Quelle nach deutscher Rechtsprechung zu qualifizieren. Update vom 20. Dezember 2013: Der Redtube-Vizepräsident nimmt auf Spiegel Online Stellung zu den Vorwürfen, seine Firma sei in die Weitergabe der IP-Adressen verwickelt. Update vom 23. Dezember 2013: Redtube hat weitere Abmahnungen gegen Nutzer des Portals per Einstweiliger Verfügung stoppen lassen. Sh. dazu auch die Aktualisierungen zu «The Archive AG».
«The Archive AG» aus Bassersdorf ZH, Schweiz
«The Archive AG» ist eine in der Schweiz registrierte Firma mit Sitz in Bassersdorf, Zürich. Hier laufen die Fäden zusammen. Warum erstaunt es nicht, dass die Inhaber der Firma zwei Deutsche sind? Die Webseite gibt keinen sehr tiefen Einblick in die Geschäftstätigkeit der Firma. Es ist die Rede von der Verfolgung von Urheberrechtsverletzungen mittels einer modulbasierten Software. Kein Wort wird aber darüber verloren, dass sie selber Rechteinhaber sind. Im Juli 2013 erwerben sie die Verwertungsrechte an zwei oder drei Porno-Filmen. Fast eine Woche später taucht einer dieser Filme auf Redtube auf und die Zugriffszahlen schnellen überproportional in die Höhe. Das gleiche trifft auf einen anderen Film zu, der bereits auf Redtube verfügbar war. Dies wurde hier auf heise.de eindrücklich dokumentiert. Kurz darauf wird scheinbar die us-amerikanische Firma «itGuards Inc.» beauftragt, die IP-Adressen der Betrachter jener Filme ausfindig zu machen. Die «The Archive AG» erhält Zehntausende IP-Adressen (alles deutsche?) und gibt diese an die Abmahnkanzlei «Urmann + Collegen» nach Deutschland weiter mit dem Auftrag, die Anschlussinhaber der IP-Adressen gerichtlich ermitteln zu lassen und kostenpflichtig abzumahnen. Ein pikantes Detail kann man darin sehen, dass die Webseite von «The Archive AG» und jene der «itGuards Inc.» mit der selben Baustein-Software von Wix.com erstellt wurden und auf dem selben Server gehostet werden. Es darf natürlich jetzt gefragt werden, wie die beiden Firmen miteinander verbandelt sind. Update vom 21. Dezember 2013: In einem Interview vom 18. Dezember verteidigt Ralf Reichert, Verwaltungsrat der «The Archive AG», die Methoden und die Technologie, mit denen die IP-Adressen ermittelt wurden. Er kündigt weitere «wahrheitsgemässe» Informationen an. Werden diese mehr Unterhaltung als Aufklärung bieten, wenn sie denn jemals vorgelegt werden? Update vom 21. Dezember 2013: Redtube erwirkt eine einstweilige Verfügung gegen «The Archive AG» und stoppt weitere Abmahnungen gegen Nutzer des Porno-Portals. [Link auf lawblog.de] Update vom 23. Dezember 2013: Verwaltungsrat der «The Archive AG» R. Reichert hat wieder «wahrheitsgemässe» Informationen verlautbart [Link auf heise.de]. Wir erfahren nichts Neues zu der ominösen Software GladII 1.1.3. Die einzige mögliche Verteidigung bestünde in einer Demonstration dieser Software. Update vom 27. Dezember 2013: Die einzigen spärlichen Informationen über den Geschäftsführer P.R.W der «The Archive AG» fanden sich auf der ziemlich alten Webseite seiner Schwester (fiadelfia.de). Diese Webseite wurde mittlerweile vom Netz genommen. Dieser Webseite liessen sich folgende Informationen entnehmen: Der Geschäftsführer hat Jahrgang 1976 und stammt aus Münster DE. Er ist Unternehmensberater und hat in den Staaten studiert (welch Zufall!). Er ist anscheinend häufig im Flugzeug unterwegs. Die Informationen zu dieser Person sind noch bei web.archive.org verfügbar. Update vom 28. Dezember 2013: In der Verlautbarung vom 23. Dezember hat sich ein gewisser Herr Hausner für die «The Archive AG» zu Wort gemeldet. Kurios, dass eine gewisse «Hausner Productions» anscheinend die ehemalige Rechteinhaberin der besagten Porno-Filme war! Die Ordnungsmässigkeit der IP-Adressen-Ermittlung zu beweisen kann ferner nicht darin bestehen, die Software GladII 1.1.3 zu demonstrieren oder ein fragwürdiges Gutachten zu zitieren sondern den Nachweis zu erbringen, dass die IP-Adressen tatsächlich mit dieser Software «beweissicher», legal und datenschutzkonform gesammelt wurden. Dieser Nachweis würde aber immer noch nichts an der Tatsache ändern, dass Streaming aus einer offensichtlich nicht illegalen Quelle nicht als unerlaubte Kopie, sprich nicht als Urheberrechtsverletzung gilt in Deutschland. Update vom 29. Dezember 2013: Gemäss Informationen, die Welt.de vorliegen, besitzt die «The Archive AG» die Filmrechte womöglich gar nicht. Sie wäre somit nicht Rechteinhaberin, hätte keine Aktivlegitimation und sowieso gar keinen Anspruch. Es fehlt allem Anschein nach einfach an allem: an den Filmrechten, an der Urheberrechtsverletzung(en), an der Ordnungsmässigkeit der IP-Adressen-Ermittlung. «Epic Fail»? Update vom 7. Januar 2014: Die Webseite «http://www.the-archive.ch» ist nicht mehr erreichbar. Sie wurde anscheinend entfernt. Ein aufmerksamer Zeitgenosse hat es nicht versäumt, ein Backup der ehemaligen Webseite zu erstellen [Link zu achive.is]. Update vom 8. Januar 2014: Die Firma «The Archive AG» scheint gemäss dem Blog kowabit.de umzuziehen. Hängt dieser Umzug mit dem rechtlichen und sozialen Druck zusammen, dem die Firma momentan ausgesetzt ist? Update vom 14. Januar 2014: Nicht nur gegen den Geschäftsführer der «The Archive AG» sondern auch gegen den Rechtsanwalt Sebastian, der beim LG Köln den Antrag zur Ermittlung der Anschlussinhaber gestellt hat, als auch gegen Fr. Jutta Schilling, welche die vermeintlichen exklusiven Verwertungsrechte an den abgemahnten Filmen beanspruchte und verkaufte, wurde beim LG Köln Strafanzeige wegen «rechtswidriger bandenmässiger Bereicherung» gestellt, wie das Blog kowabit.de berichtet. Die Rechtekette als Fundament der Abmahnwelle bricht auseinander. Die Massen-Abmahnungen werden offensichtlich zu einem gefährlichen Bumerang für die Abmahner. Da alle drei Beschuldigten ihren Wohnsitz in Deutschland zu haben scheinen, unterstehen sie deutscher Jurisdiktion und dem Zugriff der deutschen Behörden. Zum ersten Mal erscheint auch der Geschäftsführer der «The Archive AG» auf dem rechtlichen Radar. Mit welchen Manövern werden die Beschuldigten versuchen, ihren Kopf aus der Schlinge zu ziehen? Feststeht, dass der Druck auf die Abmahner nach ungefähr sechs Wochen eine ungeahnte Dimension angenommen hat. Hier in der Schweiz warten wir nach wie vor gespannt darauf, wie der Eidgenössische Datenschützer (EDÖB) die Weitergabe der IP-Adressen aus der Schweiz nach Deutschland beurteilt. Update vom 14. Januar 2014: Die Rechtekette im Überblick. Ungeklärt ist die Weitergabe der Rechte durch den Urheber «Combat Zone».
Grafik by Par-Salian, CC-by-sa 3.0/de, aus: Wikipedia
Update vom 15. Januar 2014
Foto mit freundlicher Genehmigung von Michael Küng, @Graudesch
Die «The Archive AG» wird kurzerhand umstrukturiert. Der Volksmund würde sich vielleicht erdreisten zu sagen: Die Ratten verlassen das sinkende Schiff. Der Geschäftsführer P.R.W. scheidet aus, wie das Blog kowabit.de berichtet. Der entsprechende Handelsregistereintrag wurde geändert. Er wird sich trotzdem für die Ungereimtheiten, welche sich während seiner Geschäftsführung ereignet haben, verantworten müssen. Neuer Firmensitz ist Weisslingen, ZH. Zum neuen Geschäftsführer wurde «Djengue Nounagnon Sedjro Crespin» aus Benin, Afrika, ernannt. Gewiss werden alle notwendigen Papiere wie Aufenthaltserlaubnis und Arbeitsbewilligung vorhanden sein. Anfragen werden künftig wohl auf Französisch beantwortet werden. Warum nur entsteht der Eindruck, dass hier eine Marionette vorgeschoben wird? Verantwortlicher Verwaltungsrat bleibt der deutsche Staatsbürger Ralf Reichert. Verwaltungsräte haften in der Schweiz u.U. auch persönlich und unbeschränkt. Update vom 16. Januar 2014: Welt.de berichtet darüber, dass sich die Verantwortlichen aus dem Staub machen.
Update I vom 16. Januar 2014
Die Rechtsanwälte «Wild Beuger Solmecke» haben gegen den Geschäftsführer der «The Archive AG» Strafanzeige wegen besonders schwerem Betrug eingereicht. Diese Strafanzeige muss sich wohl gegen den mittlerweile ausgeschiedenen Geschäftsführer Philipp Raphael Wiik richten, der die Massenabmahnungen zu verantworten hat. Der neue Direktor der «The Archive AG» aus Benin dürfte vorerst nicht gemeint sein.
Update IV vom 17. Januar 2014
Die Bonität des neuen Geschäftsführers von «The Archive AG» sieht ungefähr so übel aus wie die Beschriftung des neuen Firmensitzes, wie die Handelszeitung berichtet. Anscheinend wurde ihm kurzfristig finanziell ausgeholfen mit der Annahme des Posten des Geschäftsführers der «The Archive AG». Er ist auf jeden Fall der richtige Mann, die Firma in den Ruin und somit zur Liquidation zu führen. Ein anderes Ziel kann mit seiner Ernennung nicht verbunden sein.
Update I vom 9. Februar 2014: Interview mit Ralf Reichert
Verwaltungsrat der «The Archive AG», Ralf Reichert, beharrt in einem Interview mit Zeit Online entgegen der einstimmigen Meinung von Experten darauf, dass die IP-ermittelnde Software «GladII 1.1.3» rechtlich und technisch einwandfrei funktioniere. Er habe aber kein technisches Verständnis. Er beruft sich ferner auf ein bislang unbekanntes Gutachten zu den rechtlichen Aspekten der IP-Ermittlung. Nach seinen Aussagen werde dies geheim bleiben. Es fällt auf, dass er selber die betreffende Software nie in Aktion gesehen hat. Zu den womöglich nicht vorhandenen Filmrechten meint er, er habe ja nur branchenüblich einen Vertrag unterzeichnet. Ein voraussehbarer Rückzug auf Branchenbräuche und Gutgläubigkeit. Er sagt aus, dass die Firma «itGuards Inc.» über eine weltweit einmalige Technologie verfüge. Dass sich genau diese Firma seit Erstellung des Gutachtens im Untergrund und hinter Briefkästen versteckt, will dieser Aussage widersprechen. Denn mit dieser Technologie könnte «itGuards Inc.» sogar die NSA in den Schatten stellen.
«itGuards Inc.» aus San Jose CA, USA
«itGuards Inc.» ist die us-amerikanische Firma, welche die IP-Adressen der vermeintlichen Urheberrechtsverletzer ermittelt haben soll mittels der geheimnisumwitterten Software GladII 1.1.3. Wir statten der Firma in San Jose mittels den Karten von Google einen Besuch ab. Die Adresse lautet «97 South Second Street #156 San Jose, Silicon Valley, CA 95113 United States of America». Google ist der Meinung, dass, diese Adresse in der Mitte einer Kreuzung liegt. Wenn man hineinzoomt und mit Google Street View weiter fahndet, findet man... rein gar nichts. Es gibt an der Kreuzung eine Hausnummer 96, dahinter liegt ein Parking, dort ein Park, dort eine Kirche. Aber nirgends ist die Hausnummer 97 N 2nd St #156 zu finden. Die Hausnummer 96 scheint komplett von einer Innenarchitektur Firma belegt zu sein. Nicht einmal ein Briefkasten ist zu sehen. Es liegt die Vermutung nahe, dass die Firma «itGuards Inc.» nicht nur keine Firma ist sondern überhaupt nicht existiert. Auch das Handelsregister des Staates Kalifornien will keine solche Firma kennen. Wurden die IP-Adressen also von einer Firma ermittelt, welche gar nicht existiert? Es ist auf jeden Fall sehr wahrscheinlich, dass die IP-Adressen andersweitig ermittelt wurden. Da fällt auch plötzlich noch auf, dass die Schwester eines der Inhaber der «The Archive AG» auf ihrer persönlichen Webseite ihren Bruder erwähnt, der in den USA studiert haben soll. Hat er vielleicht in San Jose studiert? Die Universität läge nur ein paar Häuserblocks von der inexistenten Adresse in San Jose entfernt. Vielleicht ist die «itGuards Inc.» aber auch nur sehr geheim und im Untergrund tätig. In dieser Sache könnten sich das FBI und die NSA einmal nützlich machen. Update vom 17. Dezember 2013: Hinweise deuten darauf hin, dass es sich bei der «itGuards Inc.» um eine Briefkasten-Firma handelt. Es ist nicht möglich, eine verantwortliche Ansprechperson ausfindig zu machen. Die Spur verläuft im Sand. «itGuards Inc.» möchte nicht gefunden werden. Darf vermutet werden, dass hier eine Schein-Firma vorgeschoben wurde, um eine illegale IP-Adressen-Erhebung in der Schweiz zu vertuschen? Gemäss dem «Logistep»-Urteil dürfen in der Schweiz keine IP-Adressen mehr erhoben werden. Zitat von Schnuffeltier aus dem heise-Forum: "Der Registrar der Firma ist eine Business Filings Incorporated, 108 West 13th St, Wilmington, DE 19801. Diese scheint in Delaware wie ein registriertes Office bei einer englischen Ltd. zu fungieren. Ist also weder Firmensitz, noch Büro der eigentlichen Firma." Update vom 19. Dezember 2013: Es wird noch komplizierter. Google zeigte eine falsche Stelle. Ein aufmerksamer Leser hat den richtigen Standort der Firma «itGuards Inc.» lokalisiert. Der richtige Standort des Briefkastens ist an der 2nd South 97 in San Jose. Eine Firma Nextspace ist dort einquartiert. Im Mitgliederverzeichnis erscheint ein gewisser Andreas Roschu. Zufall, dass dieser Herr der Gutachter der ominösen Software GladII 1.1.3 ist? Update vom 19. Dezember 2013: Die Spur führte nach Wilmington, Delaware. Dort kommen auf 800'000 Einwohner 900'000 Firmen, die dort nur Briefkästen betreiben. Diese Dokumentation bei Youtube veranschaulicht dies ab Filmspielzeit 20:40. Der eigentliche Firmensitz ist also eine Briefkastenkastenfirma des Briefkastens in San Jose. Verantwortliche Personen sind weit und breit keine auszumachen. Muss man in den USA studiert haben, um solche Verschleierungs-Konstrukte zu erschaffen? Update vom 27. Dezember 2013: Die Firma «itGuards Inc.» wurde am 21. März 2013 in Delaware gegründet (File Number: 5309169). Bereits am 22. März 2013 beglaubigte die Müncher Kanzlei «Diehl & Partner» ein Gutachten für die Software GladII 1.1.3, welche scheinbar von «itGuards Inc.» programmiert worden sein soll [Link zu T-online.de]. Ein Gutachten für ein Software-Produkt einer us-amerikanischen Firma, welches nur einen Tag nach der Gründung dieser Firma in Deutschland vorliegt, ist äusserst bemerkenswert. Es scheinen sowohl die Gründung der US-Briefkastenfirma, das Auftauchen der ominösen Software als auch das Gutachten nur hinsichtlich der Massenabmahnungen in Deutschland inszeniert worden zu sein. Gutachter ist übrigens jener Andreas Roschu, der am Standort des Briefkastens in San Jose im Mitgliederverzeichnis der Firma Nextspace erscheint. Mitgliedschaft bedeutet, dass ein Kunde kostenpflichtige Dienstleistungen in Anspruch nimmt. Ein Briefkasten bei Nextspace in San Jose ist ab $49.00 pro Monat zu haben. Nextspace empfängt die Briefe und hat die Berechtigung, Pakete entgegenzunehmen. Der Kunde, auch Mitglied genannt, muss dort niemals anwesend sein. Es ist offensichtlich, wen die deutschen Ermittler anpeilen müssen.
Update II vom 16. Januar 2014
Auch die Webseite der Firma «itGuards Inc.» hat sich in Luft aufgelöst. Webseiten und Firmen scheinen im Moment wie Fliegen wegzusterben. Die Firma mit der Wunderwaffe «GladII 1.1.3», die nie gefunden werden wollte, ist endgültig vom Erdboden verschwunden. Natürlich existiert auch von dieser Webseite eine Sicherung auf archive.is. Das Internet vergisst so schnell nicht.
Update III vom 16. Januar 2014
Am 1. März 2014 muss die «itGuards Inc.» zum ersten Mal seit ihrer Gründung im März 2013 ihren jährlichen Bericht (annual report) in Delaware einreichen. Für eine Gebühr kann dann der Jahresbericht der «itGuards Inc.» inklusive Namen der Verantwortlichen von jedermann aus aller Welt erworben werden. Fusionen oder Firmenauflösungen sind erst nach Einreichen des Jahresberichtes möglich. Die Namen der Schattenmänner von «itGuards Inc.» werden spätestens im März bekannt. Ihre Zeit läuft ab. Dies ist vor allem hinsichtlich der jetzt eingegangenen Strafanzeige der Rechtsanwälte «Wild Beuger Solmecke» gegen «itGuards Inc.» relevant. Nachtrag: Es liegt nun auf der Hand, warum die «itGuards Inc.» erst im März 2013 gegründet wurde. Hätten die Hintermänner die Gründung nach Erstellung des Gutachtens im Dezember 2012 oder im Januar 2013 vollzogen, hätten sie schon im März 2013 ihre Identität im Jahresbericht, zu dem sie der Staat Delaware verpflichtet, preisgeben müssen. Mit der Gründung nach dem Stichtag des 1. Märzes 2013 haben sie sich Zeit bis zum 1. März 2014 verschafft. Dieser Tag kommt jedoch unausweichlich. Es ist absehbar, dass die «itGuards Inc.» nie einen Jahresbericht einreichen wird. Dies führt dann hoffentlich zur Veröffentlichung der Namen der Verantwortlichen von Gesetzes wegen. In den Vereinigten Staaten ist zwar viel möglich, aber auch dort gilt das Öffentlichkeitsprinzip im Firmenrecht.
Update I vom 17. Januar 2014: Das Gutachten
Das Gutachten zur Software GladII 1.1.3 wurde veröffentlicht. Eine seriöse Bewertung wird einige Zeit in Anspruch nehmen. Es fällt auf, dass im dritten Jahrtausend noch mit Schreibmaschine gearbeitet wird. Es passt zu all den Kuriositäten, dass jemand, der ein Software-Produkt analysiert, die Analyse auf einer Schreibmaschine verfasst.
Update III vom 17. Januar 2014: Kurzanalyse
Das Gutachten stammt von einem Physiker.
Stutzig macht, dass der Auftraggeber drei für die Analyse geeignete Porno-Clips bestimmt hat, obwohl die Software «GladII 1.1.3» Medienhoster global überwachen können soll.
Ferner scheint der Gutachter den Unterschied zwischen Streaming und Download nicht zu kennen, wie das in den Punkten 5.2, 7.1, 7.2 zum Ausdruck kommt.
In Punkt 7.2 wird beschrieben, dass Medienhoster anscheinend global überwacht werden. Warum wurden dann nur die drei vom Auftraggeber benannten Filme getestet? Der Gutachter hätte so kritisch sein dürfen, andere Filme auf diesen Medienhostern zu testen.
Die Test-Umgebung wurde nicht verändert. Man muss davon ausgehen, dass Fremd-Cookies, Tracking-Cookies und Werbung zu keinem Zeitpunkt geblockt wurden.
Im Punkt 7.3 wird das Interface beschrieben. Es wird jedoch nicht erklärt, wie der Gutachter unter der Fülle von IP-Adressen seine eigene ausfindig machen konnte. Es ist unwahrscheinlich, dass nur der Gutachter diese Filme aufgerufen hat. Tausende von IP-Adressen hätten dort erfasst sein müssen. Es scheinen jedoch nur jene zwei IP-Adressen des Gutachters aufgelistet worden zu sein. Liegt hier des Pudels Kern begraben?
Die drei getesteten Filme sind heute noch verfügbar. Weit und breit sind jedoch keine «Thumbnails» zu sehen, wie dies in Punkt 6.4.2 beschrieben wird. Auf welche Miniatur-Vorschaubilder bezieht sich der Gutachter? Hatte er etwas ganz Anderes als das, was wir heute sehen, zu Gesicht bekommen?
Verblüffend ist auch, dass die Software nicht nur das Starten und Stoppen des Datenstreams sondern auch den Aufruf der Hauptseite protokollieren konnte. Was mit «Hauptseite» gemeint ist, steht in den Sternen. Ist damit die Webseite, die den jeweiligen Film enthält, oder die Start- oder Übersichtsseite des Medienhosters gemeint?
Bei zwei Filmen tauchen die Tracker von «Adult Webmaster Empire» auf. «Adult Webmaster Empire» ermöglicht eine Video-Kontaktaufnahme mit Damen. Bei allen dreien trackt Google Analytics. War auch bei «xvideos.com» im Jahre 2012 der Tracker und der Webservice von «Adult Webmaster Empire» implementiert?
Bei einer Virenprüfung eines der Porno-Filme konnten keine Viren oder sonstige Ungewöhnlichkeiten festgestellt werden.
Die Tests zum Gutachten wurden am 11. und 21. Dezember 2012 durchgeführt. Die Firma «itGuards Inc.» wurde aber erst drei Monate später am 21. März 2013 gegründet.
Schliesslich stellt sich die Frage, warum keine Screenshots angefertigt wurden. Aber vielleicht ist das zuviel verlangt von jemandem, der ein Gutachten auf einer Schreibmaschine verfasst.
Ansonsten scheint das Gutachten schlüssig. Es bleibt uns aber natürlich die Antwort schuldig, wie die Software «GladII 1.1.3» die IP-Adressen der Streaming-Nutzer «beweissicher», legal und datenschutzkonform sammeln konnte. Nachtrag: Im Dezember 2012 war Adobes Flash Player ein gewaltiges Sicherheitsrisiko [Link auf golem.de]. Nachtrag: Natürlich hat sich auch «Hacker» und «Reverend» Klemens Kowalski vertieft mit dem Gutachten beschäftigt. Fazit: Es ist das Papier nicht wert, auf dem es geschrieben steht. Zu dieser Einschätzung gelangt auch ein einschlägiger Artikel auf heise online.
Update vom 19. Januar 2014: Nachtrag zur Kurzanalyse
Der wirkliche Schwachsinn beginnt im Testverfahren unter Punkt 6.4. Der Gutachter sagt aus, dass die Websites der Medienhoster angesurft wurden. Dort sei er dann erstmals auf «Thumbnails» gestossen. Er hat also nach Adam Riese die Startseiten der Medienhoster aufgerufen, also in diesem Falle drtuber.com, tnaflix.com und xvideos.com. Dort sei er auf die vom Auftraggeber «itGuards Inc.» bestimmten, durch «Vorschaubilder» repräsentierten Porno-Clips gestossen. Wer diese Webseiten besucht, wird schnell realisieren, dass die Startseiten dynamisch gerendert werden, und die auf die Porno-Filme verlinkenden Vorschaubilder stündlich oder täglich ändern. Wie will unser über jedes Mass hinaus befähigter Gutachter auf allen drei dynamisch gerenderten Startseiten ausgerechnet jene drei Porno-Filme sofort gesichtet haben? Es ist zufällig, was dort gerade dargestellt wird. Der gesunde Menschenverstand warnt uns sofort, dass die bezeichneten Filme unter Tausenden anderen dort niemals gleichzeitig auf der Medienhoster-Startseite als Vorschaubilder repräsentiert werden können. Die Möglichkeit, dass die Auftraggeber alle drei benannten Filme auf allen drei Webseiten zum exakt gleichen Zeitpunkt irgendwie auf der Startseite erscheinen liessen, ist nicht ganz ausszuschliessen. Dieses Kunststück ist auf jeden Fall nicht erklärt. Sie hätten dann die bezeichneten Filme während des gesamten Test-Zeitraums von 10 Tagen auch dort forcieren müssen. Auch wenn diese verschwindend kleine Möglichkeit besteht, wäre immer noch nicht geklärt, wie der Gutatcher die benannten Filme identifiziert hat. Er kannte ja gemäss eigenen Angaben nur die URLs der Filme. Warum er diese URLs nicht direkt aufgerufen hat und den beschwerlichen Umweg über «Thumbnails» genommen hat, erläutert er nicht. Dann behauptet der Gutachter in Punkt 6.4.2, dass die Filme durch Anklicken der «Thumbnails» gestartet werden. Das kann überhaupt nicht nachvollzogen werden. Zuerst wird der Besucher nämlich auf eine den Porno-Clip beinhaltende Seite geführt (sh. die drei URLs). Erst dort kann der Flash-Film gestartet werden. Entweder stellt der Gutachter hier irgendwelche Übersprungs-Beobachtungen an, oder er schildert etwas, das sich auch im Dezember 2012 so unter keinen Umständen ereignet haben kann. Alle drei Medienhoster funktionieren vollkommen identisch. Was in Punkt 6.4 geschildert wird, ist absolut hanebüchener Schwachsinn. Die Glaubwürdigkeit des Gutachtens dürfte damit sogar in den Minusbereich abrutschen.
Update I vom 22. Januar 2014: Stellungnahme von «Diehl & Partner»
«Diehl & Partner» äussern sich zur Kritik am Gutachten. Sie rechtfertigen sich, dass man lediglich nachvollzogen habe, wozu man vom nicht genannten Auftraggeber beauftragt worden sei. Die Abmahnwelle habe man nicht zu verantworten. In diesem Geflecht von verteilten Verantwortlickeiten werden sich alle Parteien in dieses Refugium zurückziehen. Ob es dem Ansehen eines Wissenschaftlers zuträglich ist, ein so dünnes und unkritisches Gutachten zu verfassen, ist eine andere Frage.
Update II vom 22. Januar 2014: Kommentar von SemperVideo
Quelle: Youtube / SemperVideo
Update vom 23. Januar 2013: Szenario zu «GladII 1.1.3»
»GladII 1.1.3» muss eine Software sein, die intensiv entwickelt wird. Das suggeriert zumindest die Versionsnummer «1.1.3». Im Dezember 2012 begutachtete «Diehl & Partner», dass die Software irgendwie IP-Adressen von Streaming-Konsumenten zeitgenau erfassen könne (inkl. Starten und Stoppen des Datenstreams.) Im August 2013 versicherte jemand eidesstattlich, dass «GladII 1.1.3» diese Funktionaliät tatsächlich erbringt. Acht Monate lang stand also die Entwicklung dieser Wundersoftware still, denn sie steht auch im August 2013 immer noch bei derselben Versionsnummer. Acht Monate lang wurde «GladII 1.1.3» nicht mehr entwickelt. Das ist äusserst ungewöhnlich für ein Software-Produkt, welches es aus dem Nichts die Versionsnummer 1.1.3 erreicht hatte. Entweder hat die Software apotheotische Perfektion erreicht oder sie ist schlichtweg nicht mehr brauchbar. Deshalb wurde womöglich die Entwicklung eingestellt. Natürlich könnte auch sein, dass man einem Etwas einfach eine Versionsnummer, welche eine fortgeschrittene und stabile Entwicklungsstufe suggeriert, gegeben hat. Das tönt so wichtig wie die Bezeichnung der ominösen Hersteller-Firma aus dem innovativen und bahnbrechenden Silicon Valley. Es handelt sich um eine Briefkastenfirma aus Deutschland...
Am wahrscheinlichsten ist dieses Szenario: Im Jahre 2012 fand jemand heraus, dass es möglich ist, mit Flash und LSOs (local shared object) irgendetwas zu tricksen. Vielleicht konnte mittels auf der Webseite geschalteter Werbung auf die local gespeicherten Informationen, welche der Video-Player auf der Festplatte hinterlegt hat, zugegriffen werden. Vielleicht begünstigte auch eine Sicherheitslücke im Flash Player das Erstellen und Abgreifen dieser Informationen. Im Dezember 2012 ermöglichten Sicherheitslücken in Adobes Flash Player sogar die feindliche Übernahme entfernter Computer, wie dies bei golem.de nachgelesen werden kann. Am 11. und 21. Dezember 2012 wurde das Gutachten erstellt. Die Software konnte unter ganz bestimmten Umständen tatsächlich die angepriesene Funktionaliät erbringen. Um eine funktionierende Cross-Site-Scripting-Attacke mittels geschalteter Werbung durchzuführen, wäre die absolute Kontrolle über die beim jeweiligen Film geschaltete Werbung eine unabdingbare Voraussetzung für die Funktionalität der Software gewesen. Das hat vielleicht geklappt bei einigen Filmen, welche ganz spezifische Eigenschaften aufwiesen, z.B. dass keine anderen Werbenden dort Werbung schalten wollten. Damit wären wir indirekt wieder bei den Ladenhütern angelangt. Hätten also andere beim betreffenden Film Werbung geschaltet, wäre «GladII 1.1.3» erblindet. Es wäre absolut unmöglich zu beweisen, dass die GladIIisten die absolute Kontrolle über die geschaltete Werbung haben. Die Funktionalität basierte somit auf nur unzureichend zu kontrollierenden Faktoren, und die Ergebnisse wären somit ein pures Zufallsprodukt. Es fehlt schon an der Kontrolle darüber, welche Werbenetzwerke von den Portalbetreibern eingebunden oder auch wieder entfernt werden. «GladII» wäre auch nicht in der Lage, Besucher, welche Werbung blockieren, zu erkennen. «GladII» steht auf zwei sehr wackligen Beinen.
Dass die Software einer tieferen Prüfung nicht standhalten würde, war den Entwicklern absolut bewusst. Das Gutachten, welche sie im Dezember 2012 anfertigen liessen, bestätigte dann auch nur, dass dieser Trick unter ganz spezifischen Voraussetzungen funktionierte. Hätte der Tester Werbung blockiert, wäre das Ergebnis höchstwahrscheinlich negativ ausgefallen. «GladII» ist ein Trick, die den Namen Software nicht verdient.
Fehlerhafte Software wird irgendwann gepacht, vor allem wenn es sich dabei um Adobes Flash Player handelt. Ein Patch für den Flash Player könnte bereits im Januar 2013 «GladII» auf den digitalen Schrottplatz geschickt haben. Die Entwickler von «GladII», welche kurz vor der Erlangung der Weltherrschaft standen, wurden kurz vor der Ziellinie schockgefroren. Die Wunderwaffe funktionierte nicht mehr, die Entwicklung stoppte, die Versionsnummer blieb die gleiche, «GladII» war Alteisen. Aber sie hatten ja immerhin noch das Gutachten, welche die einwandfreie Funktionstauglichkeit der Software bestätigte. Jetzt mussten nur noch irgendwie IP-Adressen beschafft werden. “Wir sagen dann einfach, das war GladII 1.1.3.“ Also zogen die Genies von «itGuards Inc.» irgendein Umleitungskonstrukt hoch. Sie leiteten die ahnungslosen Internetnutzer einfach über eine IP-erfassende Webseite (vermutlich retdube.net oder movefile.net) automatisch auf die betreffenden Filme weiter. Voilà, man hatte die IP-Adressen. Jetzt konnte die Abmahnwelle beginnen. Der Rubel würde rollen. Auf den Abmahnschreiben, welche die Betroffenen erhielten, wird der abgemahnte Film und die Aufrufzeit erwähnt. Warum aber stehen denn dort nicht alle Informationen, welche die Wunderwaffe «GladII 1.1.3» hätte «beweissicher» erfassen können, nämlich Aufruf der Webseite, Starten und Stoppen des Films, Verlassen der Webseite? Das LG Köln sollte von den Abmahnern verlangen, dass diese Informationen nachgereicht werden. «GladII 1.1.3» soll ja gemäss einem Gutachten in der Lage sein, diese Informationen zeitgenau und «beweissicher» zu erfassen. Also her damit! Nachtrag: «Diehl & Partner» konnten auf Nachfrage des c't-Magazins den Einsatz von Werbebannern nicht feststellen. Diese Aussage ist so schwammig wie das ganze Gutachten. Sie müssen nur die Frage beantworten, ob auf diesen Filmportalen Werbung eingeblendet wurde. Dies ist in der Regel der Fall. Andernfalls haben sie nicht Filme auf diesen Portalen sondern auf einer ganz anderen Webseite aufgerufen und etwas von der Aufgabestellung Abweichendes begutachtet. Wenn sie einen Adblocker benutzt haben, wäre das auf jeden Fall eine Erwähnung wert gewesen. Aber auch dazu fehlen trifftige Angaben. Der Gutachter sollte endlich einmal Klartext reden und solche offensichtlichen Unschärfen vermeiden.
Update vom 27. Januar 2014: Nachbau von «GladII 1.1.3»
Nun hat ein cleverer Entwickler die Software «GladII 1.1.3» aufgrund des Gutachtens der Kanzlei «Diehl & Partner» rekonstruiert. Dieser Nachbau erklärt die nicht nachvollziehbaren und widersprüchlichen Aussagen des Gutachtens. Demnach wurde eine eigene Phishingseite erstellt, auf der die Streaming-Videos von Filmportalen in einen eigenen HTML5-Videoplayer eingebunden (embed) wurden. Die ahnungslosen Opfer wurden auf dieses Honeypot-Filmportal geleitet, wo angeklickte Streaming-Videos automatisch gestartet und die Aktionen der «Opfer» protokolliert wurden. Diese Honeypot-Seite war wahrscheinlich mit einem dem entsprechenden Filmportal zum Verwechseln ähnlichen Layout und einer Vertipperdomain (z.B retdube.net) getarnt. Dort konnten die Aktionen und IP-Adressen der unfreiwilligen Besucher problemlos aufgezeichnet werden. Die rechtlichen Implikationen dieser Aufzeichnungen wären gravierend. Die IP-loggende Firma hätte die Filme nicht nur selber angeboten, was die Urheberrechtsverletzung neben rechtlichen Überlegungen sowieso auschliessen würde, sondern sie hätten die IP-Adressen auch mittels einer Täuschung erfasst. Bei den vermeintlichen Urheberrechtsverletzern entfällt der Vorsatz gänzlich. Der Tatbestand des Betrugs rückt weiter in den Bereich des Wahrscheinlichen. Dieser «GladII»-Klon liefert eine Erklärung für alle Ungereimtheien und Unschärfen des Gutachtens und erklärt, was der Gutachter tatsächlich gesehen hat. Er war nie auf den «überwachten» Filmportalen sondern auf Phishingseiten. Dort war keine Werbung geschaltet, und die Anordnung der «Thumbnails» war im Gegensatz zu den echten Filmportalen statisch. Denn nur auf einer statischen Übersichts- oder Startseite war eine eindeutige Identifikation der bezeichnten Filme möglich. Eine dringend notwendige Stellungnahme des Gutachters steht aus. Aus technischer Sicht erhärtet sich der Anfangsverdacht des sogenannten «Man in the Middle»-Angriffs. Rechtlich dürfte diese Art der IP-Adressen-Erfassung in europäischen Ländern als illegal qualifiziert werden. Kein Wunder, versteckt sich «itGuards Inc.» in den Vereinigten Staaten. Journalisten und Anwälte von Abgemahnten können einen Zugang zur funktionstüchtigen Nachbau-Software beantragen.
(Anmerkung: Video im Vollbild-Modus anschauen)
[Link auf youtube mit Erklärungen des Entwicklers]
Quelle: Youtube / Martin Eisengardt
Die deutsche Anwaltskanzlei «Urmann + Collegen»
Die Anwaltskanzlei «Urmann + Collegen», verdient ihr Geld mit massenhaften kostenpflichtigen Abmahnungen. «The Archive AG» beauftragte die Abmahnkanzlei, die Anschlussinhaber der IP-Adressen ausfindig zu machen und kostenpflichtig abzumahnen. Ohne gerichtliche Klärung und Beweise werden dabei Abgemahnte aufgefordert, eine Unterlassungerklärung zu unterschreiben und einen Unkostenbeitrag an die abmahnende Kanzlei zu zahlen. Dieser wurde im vorliegenden Fall auf 250 € angesetzt. Selbstverständlich fliesst ein Teil der Abmahngelder zurück an die Auftrag erteilende Firma, in diesem Fall an «The Archive AG». Bei Zehntausenden Betroffenen liegt es nahe, dass es hier um sehr viel Geld geht, auch wenn nur ein Bruchteil der Abgemahnten tatsächlich bezahlt. An dieser Stelle wird nicht weiter darauf eingegangen, dass die Abmahnindustrie ein Kreuz des deutschen Rechtssystems ist. Wie aber liessen die Abmahnanwälte von «Urmann + Collegen» entgegen der geltenden deutschen Rechtslehre die Anschlussinhaber der IP-Adressen ermitteln? Sie haben in ihrem Antrag zur Ermittlung der Anschlussinhaber ganz einfach nicht erwähnt, dass es sich um Streams handelt. Sie haben von Download-Portalen gesprochen. Dies ist geeignet, bei deutschen Gerichten den Eindruck von illegalen Vervielfältigungen zu erwecken. Haben die Abmahnanwälte das Landesgericht Köln bewusst in die Irre geführt? Es ist auf jeden Fall nicht davon auszugehen, dass auf Urheberrechts-Abmahnungen spezialisierte Anwälte fahrlässig solche groben Fehler machen. Das Vorgehen der Anwälte wird sicher Gegenstand von Ermittlungen werden. Niemand wird trauern, wenn sie dadurch finanziellen und persönlichen Schaden erleiden würden. Update vom 17. Dezember 2013: Die Staatsanwaltschaft Köln ermittelt bereits [Link auf golem.de]. Update vom 19. Dezember 2013: Die Anträge zur Ermittlung der Anschlussinhaber der IP-Adressen wurden ursprünglich von Rechtsanwalt Sebastian eingereicht, der sich dann an «Urmann + Collegen» wandte, weil er sich scheinbar mit der ungeheuren Anzahl von Abmahnungen überfordert sah. Antragsteller und Abmahnanwälte sind somit nicht identisch. Die Abmahnanwälte können sich auf den Standpunkt zurückziehen, dass sie mit den dubiosen Anträgen nichts zu tun haben. Rechtsanwalt Sebabstian hat seinerseits nichts mit den Abmahnungen zu tun. Ein Winkelzug? Update vom 21. Dezember 2013: In einem Interview mit der Zeit vom 17. Dezember bezeichnet Rechtsanwalt Urmann die Abmahnungen als Experiment. Meint er ein Experiment mit Zehntausenden von Deutschen, den deutschen Gerichten und dem Rechtstaat? Update vom 21. Dezember 2013: Mittlerweile sind diverse Strafanzeigen eingegangen, wie ITespresso.de berichtet. Update vom 23. Dezember 2013: Gemäss dem deutschen Strafrechtsexperten Ulf Buermeyer befindet sich das Vorgehen der Kanzlei «Urmann + Collegen» als auch deren Auftraggeber «The Archive AG» im Bereich des Straftatbestandes des Betruges [Link auf heise.de]. Update vom 4. Januar 2014: In der Zwischenzeit hat die Staatsanwaltschaft Hamburg ein Ermittlungsverfahren gegen den Geschäftsführer der «Urmann + Collegen» eingeleitet. Update vom 7. Januar 2014: Rechtsanwalt Carl C. Müller, der Strafanzeige gegen «Urmann + Collegen» gestellt hat, äussert sich ausführlich in einem Interview in der Frankfurter Allgemeinen Zeitung. Update vom 10. Januar 2014: Auch «Urmann + Collegen» scheinen es mit dem Firmensitz nicht so genau zu nehmen oder ziehen, wie es im Trend liegt, gerade mal um [Link auf focus.de]. Update vom 13. Januar 2014: Geschäftsführer Urmann zündet in einem Interview noch ein paar Nebelkerzen und ein Strohfeuer [Link auf zeit.de].
Update IV vom 16. Januar 2014
Die Rechtsanwälte «Wild Beuger Solmecke» haben nicht nur gegen den Geschäftsführer der «The Archive AG» und die Schattenmänner von «itGuards Inc.» sondern auch gegen den Geschäftsführer von «Urmann + Collegen» Strafanzeige, in diesem Fall wegen Nötigung, eingereicht.
Update II vom 17. Januar 2014
Nun ermittelt auch die Staatsanwaltschaft Regensburg gegen «Urmann + Collegen» wegen Betruges. Gemäss dem Geschäftsführer Urmann hat sich die Situation bei seinem Auftraggeber «The Archive AG» nicht verändert. Das obige Bild des neuen Briefkastens der «The Archive AG» sollte ihn jedoch eines Besseren belehren.
Update II vom 9. Februar 2014: Interview mit Daniel Sebastian
Der antragstellende Rechtsanwalt Sebastian äussert sich in einem Interview mit Zeit Online. Er versucht Redtube.com zu einer offensichtlich illegalen Quelle umzumünzen. Er bezieht sich dabei auf altersschutzrechtliche und inhaltliche, nicht aber auf urheberrechtliche Aspekte. Das war ein schwacher Versuch. Schliesslich verhöhnt er die Abmahnopfer. Es handle sich um Menschen, "die bewusst Urheberrechte verletzt haben, um Geld zu sparen." Die Abmahnopfer haben auf einer nicht offensichlich illegalen Quelle irgend etwas geklickt. Soviel weiss man heute. Diesen Menschen eine bewusste Urheberrechtsverletzung aus niedrigen Motiven zu unterstellen, ist blanker Zynismus.
Das Landesgericht Köln
Alle fragen sich, welcher Teufel das Landesgericht Köln geritten hat, als es dem Antrag obiger Anwaltskanzlei zur Ermittlung der Anschlussinhaber der IP-Adressen stattgab. Gewiss enthielt der Antrag unklare Formulierungen. Es war von einem Gutachten die Rede, welche die Tauglichkeit der IP-Adressen ermittelnden Software GladII 1.1.3 beglaubigte. Wenn diese Software denn existiert, ist sie allenfalls in der Lage, die IP-Adressen von Tauschbörsenbenutzern zu loggen. Wenn das Gericht genau geprüft hätte, wäre schnell klar geworden, dass es hier nicht um Urheberrechtsverletzungen in Tauschbörsen geht. Bei dem enormen Ausmass der Abmahnungen hätte man eine genauere technische Analyse des Antrages durch das Gericht erwarten dürfen. Lag es an der Weihnachtszeit, an schlichtem fachlichen Unverständnis oder sogar an einer mutmasslichen Täuschung durch die Abmahnanwälte, dass das LG Köln hier die Anschlussinhaber der IP-Adressen ermitteln liess? Das LG Köln wird dazu gewiss noch Red und Antwort stehen müssen. Es bleibt zu hoffen, dass deutsche Gerichte in Zukunft mehr Vorsicht walten lassen, bevor sie deutsche Internet-Nutzer Abmahnanwälten und Abmahnbetrügern zum Frass vorwerfen. Update vom 20. Dezember 2013: Inzwischen zweifelt das Landesgericht Köln an der Ordnungsmässigkeit der Ermittlung der IP-Adressen, wie golem.de berichtet. Update vom 23. Dezember 2013: LG Köln veröffentlicht ablehnenden Beschluss gegen urheberrechtlichen Auskunftsanspruch von «The Archive AG» [Link auf kanzlei.biz] Update vom 7. Januar 2014: Das Landesgericht Köln stellt klar, dass der Abruf von Videostreams in Deutschland keine Urheberrechtsverletzung darstellt [Link auf hagendorff.org]. Update vom 14. Januar 2014: Das LG Köln prüft zurzeit, ob das Gutachten, welches die Tauglichkeit der IP-ermittelnden Software GladII 1.1.3 feststellte, der Presse übergeben werden soll [Link auf sueddeutsche.de]. Es ist zu erwarten, dass die Veröffentlichung dieses Gutachtens hohe Wellen wirft. Die Experten stehen bereits in den Startlöchern.
Update II vom 27. Januar: Gericht gibt Beschwerden statt
Das Landesgericht Köln beginnt, Beschwerden gegen die Ermittlung der Anschlussinhaber stattzugeben [Link auf heise.de]. Rechtlich dürften somit Streaming-Abmahnungen in Deutschland bis auf weiteres vom Tisch sein. Einem neuen Betätigungsfeld und einer neuen Einnahmequelle für Abmahnanwälte wird vorzeitig der Riegel geschoben. Würde man mit den Worten des abmahnenden Rechtsanwalts Urmann sprechen, müsste man wohl sagen, dass das Experiment in Bausch und Bogen gescheitert ist. Rechtliche und finanzielle Konsequenzen für die Abmahner sind aber nach wie vor im Bereich des Möglichen.
Die vermeintlichen Porno-Urheberrechtsverletzer
Es ist sehr erstaunlich, dass nur deutsche Internet-Nutzer von der Abmahnwelle betroffen sind. Dies kann einerseits daran liegen, dass nur in Deutschland ein lukratives Abmahnwesen existiert, oder auch daran, dass bewusst nur deutsche IP-Adressen erfasst wurden. Und: es könnte auch sein, dass nur deutsche Internetnutzer auf die besagten Porno-Filme mittels einer weiterleitenden und IP-loggenden Webseite umgeleitet worden sind. Die Community ist bei letzerer Möglichkeit vor allem auf dem Techportal heise.de in der Browser-History von Betroffenen fündig geworden. Dieser Artikel erklärt dies detailiert. Allem Anschein nach wurden die ahnungslosen Internetnutzer über eine Werbe-Umleitung durch trafficholder.com auf eine IP-loggende und weiterleitende Webseite namens retdube.net weitergeleitet. Diese Domain ist derjenigen von redtube.com zum Verwechseln ähnlich. Die Scheindomain retdube.net existiert heute noch und leitet tatsächlich nur auf redtube.com weiter. Es ist sehr wahrscheinlich, dass an dieser Stelle die IP-Adressen der Internetnutzer erfasst wurden. Die Weiterleitung führte natürlich prompt auf die Porno-Filme der «The Archive AG». Ohne ihr Zutun landeten deutsche Internetnutzer also auf den Porno-Filmen, welche sie scheinbar nicht hätten anschauen dürfen. Ist es ein Zufall, dass die Schein-Domain retdube.net just drei Tage, nachdem die «The Archive AG» die Rechte an den Filmen erworben hatte registriert wurde? Ist es ferner ein Zufall, dass die Registrierung dieser Domain anonym in Panama durch die whoisguard.com erfolgte? Es lässt sich somit nicht nachvollziehen, wer die Domain retdube.net registriert hat. Eine gerichtliche Ermittlung der Hintermänner in Panama dürfte nahezu aussichtslos sein. Wenn dieses Konstrukt zur Ermittlung von IP-Adressen bewusst geschaffen wurde, muss eine gewaltige kriminelle Energie dahinter vermutet werden. Sollten sich diese Spekulationen bewahrheiten, bedeutet dies für alle Abgemahnten, dass eigentlich alle Ansprüche gegen sie haltlos sind. Auf breiter Front wird allen Betroffenen geraten, nicht auf die Abmahnung der Anwaltskanzlei «Urmann + Collegen» einzugehen. Update vom 29. Dezember 2013: Schätzungen von Zeit.de zufolge wurden ca. 30'000 - 50'000 Deutsche abgemahnt. Alle sind Kunden der Deutschen Telekom. Dies könnte der entscheidende Hinweis sein, wie die IP-Adressen tatsächlich ermittelt wurden. Wurden nur Telekom-Kunden über Trafficholder.com weitergeleitet, da sich der «IP-Range» der Telekom-Kunden sehr präzis eingrenzen lässt?
Update vom 25. Januar 2014: Umfrage für Betroffene
Betroffene können jetzt an dieser Umfrage teilnehmen. Personenbezogene Daten wie IP-Adressen werden vertraulich behandelt.
Die Trittbrettfahrer
Am Rande seien auch noch die Trittbrettfahrer erwähnt, welche sofort nach dem Bekanntwerden der Abmahnwelle gefälschte Abmahnungen per E-Mail an beliebige Internetnutzer versenden. Diese erhoffen sich ihrerseits von dem ganzen Skandal zu profitieren. Abmahnungen per E-mail sind grundsätzlich zu ignorieren. In diesem Fall sind auch Menschen aus Deutschlands Nachbarländern betroffen [Link]. Es zeigt sich erneut, dass Ereignisse, welche die breite Öffentlichkeit erreichen, sofort kriminelle Trittbettfahrer auf den Plan rufen. Ihre Methode ist die Angst.
Wichtige Fragen
Die Betrachtung der Akteure dieses Skandals und ihrer Handlungen hat einige Fragen aufgeworfen, welche zur Klärung dieses Falles beitragen können.
Wer hat die Porno-Filme auf redtube.com hochgeladen? Es könnte sein, dass Redtube ein Interesse hat, diesen Uploader ausfindig zu machen.
War ein Mitarbeiter von Redtube an der Weitergabe der IP-Adressen beteiligt? Auch zu dieser Frage wird Redtube an einer Klärung interessiert sein.
Was hat es mit «itGuards Inc.» und insbesondere mit ihrer ominösen Software GladII 1.1.3 auf sich. Existieren am Ende beide gar nicht?
Welche Beziehungen gibt es zwischen der «itGuards Inc.» und «The Archive AG»?
Wurde das Landesgericht Köln bewusst getäuscht durch die Abmahnanwälte «Urmann + Collegen»?
Wer ist für die Weiterleitung und das vermutete IP-Logging auf retdube.net verantwortlich?
Wie beurteilt der Schweizer Datenschützer (EDÖB) die Weitergabe von IP-Adressen aus der Schweiz nach Deutschland?
Wer sind die Profiteure dieser vermeintlichen Urheberrechtsverletzung? «The Archive AG» und «Urmann + Collegen», evt. weitere?
Wer hat auf trafficholder.com eine Umleitung auf retdube.net gekauft?
Wer steckt hinter retdube.net und was hat es damit genau auf sich?
Update vom 21. Dezember 2013: Warum explodierten die Zugriffszahlen jener Porno-Filme?
Update vom 21. Dezember 2013: Warum das ganze Theater, wenn gemäss dem deutschen Medienrechtsprofessor Gerald Spindler gar keine Urheberrechte verletzt wurden?
Abschliessende Bemerkungen
Wenn auch nur einige dieser Fragen beantwortet werden können, wird sich das Puzzle sehr schnell zu einem aufklärenden Bild zusammenfügen. Feststeht, dass die Sache zum Himmel stinkt. Dieses Konstrukt wackelt auf jeden Fall enorm und wird im besten Fall noch vor dem Beginn des neuen Jahres in sich zusammenbrechen. Hoffentlich werden zügig weitere Erkenntnisse ans Tageslicht kommen. Zu begrüssen wäre, wenn hier ein Whistleblower weitere Fakten beisteuern würde. Auch wäre es ein schönes Weihnachtsgeschenk, wenn sich dieses internationale Firmengeflecht endgültig entwirren lassen würde. Ein grosses Dankeschön geht auch an die nimmermüde Community, welche laufend neue Fakten zu diesem Skandal zu Tage fördert. Immerhin sind sehr viele Menschen - sehr wahrscheinlich zu Unrecht - in eine sehr unangenehme und missliche Lage geraten.
