Fragen? Antworten! Siehe auch: Alternativlos
Diese Rolle müsste man auch beim EuGH mal dringend besetzen, denn die gaslighten gerade ihr Urteil zu Fingerabdrücken im Personalausweis wie folgt:
Diese Aufnahme ist jedoch durch die dem Gemeinwohl dienenden Zielsetzungen gerechtfertigt, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Überprüfungssysteme zu gewährleisten.Oh, aber klar doch! Außerdem hilft das gegen sauren Regen und Haarausfall und bringt unser Weltraumprogramm wieder auf Trab!1!!
Fingerabdrücke im Personalausweise helfen gegen genau keinen einzigen dieser Punkte. Wo ist Verleihnix, wenn man ihn braucht?
Ich habe mich ja daran gewöhnt, dass solche Entscheidungen frei von Sachverstand oder Kompetenz auf dem Problemfeld getroffen werden, aber dieses Gaslighting geht mir echt gewaltig an die Nieren.
Seid doch wenigstens so ehrlich und schreibt "lalala blblbl wir haben keine Ahnung aber wir beschließen das jetzt mal so, weil irgendein Vollpfosten-Polizeizulieferer-Lobbyist und erfolgreich seine Traumwelt verkauft hat"!
Und DAS ist die höchste gerichtliche Instanz! Unglaublich.
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.
Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Nun, wenn man die Erwachsenen nicht kriegt, dann indoktriniert man halt die Kinder, solange sie sich nicht wehren können!
Ab 2024 soll es keine neuen Kinderreisepässe mehr geben - das hat der Bundestag beschlossen. Ersetzt werden sollen sie durch elektronische Pässe mit längerer Gültigkeitsdauer und mehr Nutzungsmöglichkeiten.Oh yeah, die vielen neuen ... Nutzungsmöglichkeiten!!1! Also nicht für die Kinder, versteht sich. Für den "Sicherheits"-Apparat aus Geheimdiensten, Polizeien und sonstigen Unterdrückungsbehörden.
Aber Fefe, wieso bist du denn schon wieder so schlecht gelaunt? Da steht doch nur was davon, dass sie es für die Kinder besser machen wollen!
Mit der Reform des Pass- und Ausweisgesetzes soll es den Behörden außerdem erleichtert werden, deutsche Sexualstraftäter und Extremisten an einer Ausreise zu hindern - und zwar dann, wenn zu befürchten ist, dass sie im Ausland Straftaten begehen. Wenn bestimmte Tatsachen diese Annahme begründen, erhalten solche Menschen entweder keinen Reisepass, der Pass kann ihnen entzogen oder die Ausreise untersagt werden.Ach. Ach was. Extremisten, sagt ihr? Na sowas.
Update: War ja auch höchste Zeit, dass mal jemand die Klimakleber am Ausreisen hindert. Die sollen bitte schön hier wohnen bleiben, und unter den Auswirkungen dessen leiden, was sie vergeblich zu verhindern versucht haben.
Leute an der Ausreise hindern, das hatten wir seit 1989 nicht mehr. War höchste Zeit, dass diesen rechtsfreien Raum mal jemand beseitigt.
Wer sich jetzt denkt: Nur die CDU konnte den Weihnachtsmarkt schließen! Der hat völlig Recht. So eine gute Kraft wie die Giffey hat die CDU lange nicht mehr gehabt.
- Wachschutz an 12 Neuköllner Schulen entfällt
- Tagesreinigung an den Neuköllner Schulen entfällt
- Obdachlosenhilfe wird reduziert
- Wegfall der aufsuchenden Suchthilfe
- Wasserspielplätze werden geschlossen
- Kaputte Spielgeräte auf Spielplätzen werden nicht mehr erneuert
- Müllentsorgung in Grünanlagen wird halbiert
- Schließung von drei Jugendfreizeit- bzw. Familieneinrichtungen
- Reduzierung der Stadtteilkoordination ab 2025
- Jugendreisen für besonders betroffene Jugendliche werden nicht mehr finanziert
- Alt-Rixdorfer Weihnachtsmarkt fällt weg
- Freie Stellen im Bezirksamt werden temporär nicht nachbesetzt
Ja aber Fefe, was hat denn Neukölln mit Giffey zu tun? Da kommt Giffeys politische Karriere her.
Ich frage mich ja, wieso man angesichts dieser Sparmaßnahmen Neukölln nicht einfach komplett zusammenklappt und dann vielleicht noch mal mit dem Besen rübergeht. Wieso so tun, als habe Giffey Hoffnung übrig gelassen.
Diese Frau ist echt wie ein Heuschreckenschwarm. Wo die war, wächst nichts mehr. Ein anderes Modell als weiterziehen hat sie auch nicht.
Ach komm, Fefe, so schlimm kann das doch nicht sein in Neukölln nach der Giffey. Oh doch, ist es!
„... bei den Regelaufgaben ist nicht einmal Stabilität möglich!“, heißt es in dem Schreiben, das B.Z. vorliegt. Sogar mit der Schließung von Bürgerämtern wird gedroht.Finde ich auf der anderen Seite nur gerecht, wenn jetzt ein CDU-Oberbürgermeister das ausbaden muss.
Ich finde: Wer ab jetzt einen neuen Personalausweis braucht, geht nicht zum Bürgeramt sondern direkt zum regierenden Bürgermeister. Wenn die da nicht untergehen vor Schmerzen, dann glauben die, das können sie aussitzen.
Alles, was die brauchen, ist eine "Bund ID".
Ja und wo gibt's die? Na da musst du entweder ein Elster-Zertifikat haben (wieso würden typische Stundenten das haben!?), oder du benutzt halt die Online-Funktion von dem verkackten Personalausweis.
Nein, wirklich! Ohne Scheiß jetzt!
Die wollen gerade alle Studenten in diesen nPA-Dreck reinnötigen, nach dem keiner gefragt hat und den keiner haben wollte und den jetzt aber trotzdem alle bezahlen mussten, weil die arme Bundesdruckerei Industrieförderung brauchte und die Behörden simulieren wollten, dass wir in diesem Lande ja auch sowas wie Digitalisierung haben.
Ein Riesenskandal, wenn ihr mich fragt.
Aber, weil ich ja hier auch einen Bildungsauftrag habe: Wenn ihr das Kleingedruckte lest, gibt es noch einen dritten Weg. Man kann sich von der Uni eine PIN ausstellen lassen.
Wer heute noch nicht dazu gekommen ist, muss sich keine Sorgen machen. Ich hab die Inbox voll mit "Passierschein A38"-Mems von Leuten, die da stundenlang in Warteschleifen hingen, um dann an Serverfehlern zu zerschellen.
Einer hing erst in der einen, dann in der anderen Warteschleife, und dann schmiss ihn das System raus, weil er zu lange für seinen Vorgang brauchte.
Digitalisierung Marke FDP. Man muss wahrscheinlich froh sein, dass da keine Blockchain beteiligt zu sein scheint. Was für elende Totalversager.
Oh, und, fürs nächste Mal. Der Staat sollte für solche Aktionen keine luschtigen Bullshit-Domains anmelden, sondern das sollte eine Webseite unter einer wohlbekannten Ministeriums-Domain sein, oder bund.de oder so. Was ist DAS denn schon wieder für eine unprofessionelle Elendsdreckpfuschkackscheiße alles ey!
Aber, stellt sich raus, Bußgelder für keinen Reisepass haben verteilen sie.
Immerhin hat ihnen dafür jetzt das Amtsgericht Tiergarten einen Vogel gezeigt.
Erstens mal: Die anderen 2FA-Arten gehen alle noch.
Zweitens mal: Twitter zahlt pro 2FA-SMS an einen Europäer 3ct Gebühren. Wieso sie das überhaupt jemals getan haben, erschließt sich mir nicht.
Drittens: Elon hat sich dazu in einem Interview geäußert. Stellt sich raus: Es gibt da draußen Telcos, die Bot-Accounts auf Twitter einrichten, und dann lauter 2FA auslösen, damit die Telco dann Twitter Rechnungen stellen kann.
Als Elon das mitkriegte, sagte er seinem Team: Ihr klemmt jetzt alle Telcos mit über 10% Fraud ab.
Alter, 10% Fraud. Kreditkarten haben deutlich unter 1% Fraud, gefälschte Personalausweise waren einstellige Fälle pro Jahr, und was haben wir uns da für ein Mehr-Sicherheits-Blablah anhören müssen! Der Einzelhandel hat sowas wie 1% Warenschwund, davon die Hälfte Diebstahl. 10% ist unfassbar viel Fraud.
Jedenfalls. Elon sagt also seinen Leuten: Klemmt die mal ab. Stellt sich raus: Das waren 390 Telcos. 390!!
OMGWTF!
Insgesamt reden wir hier laut Elon von 60 Millionen Dollar Schaden jährlich.
Vielleicht hat diese Spezies den Klimawandel einfach echt verdient. Alles niederbrennen, Evolution nochmal von vorne machen lassen.
Update: Wobei Twitter vermutlich einen besseren Deal aushandeln konnte als 3ct pro SMS. Bei dem Volumen?
Die Vereinten Nationen erklären, Berlins Verwaltung sei besser als die von Seoul oder Tallinn.Das überrascht nicht nur Leute, die in Berlin wohnen :-)
Doch auch seit der Spitzenplatz in der „United Nations E-Government Survey“ bekannt ist, kann sich niemand erklären, wieso Berlin, wo es Monate dauert, einen neuen Personalausweis zu bekommen und Jahre vergehen können, bis man umgemeldet ist, plötzlich bei der digitalen Verwaltung absolute Weltspitze sein soll.*gacker*
Völlig klar, da müssen kurz vor Einlaufen in den Hafen noch schnell das Altöl und die radioaktiven Abfälle über die Reling gehievt werden! Wissenschon, die Gesetze, bei denen man keinen Bock auf eine öffentliche Debatte hatte!
Sowas wie: Yet another Ermächtigungsgesetz für die Polizei. Ab jetzt sollen Hausdurchsuchungen auch nachts stattfinden. Weil, äh, die bösen Hacker sind nachtaktiv! Wenn man da morgens aufschlägt, sind die Laptops alle zugeklappt und man kommt ohne Passwort nicht ran!1!!
Naja und weil man im öffentlichen Dienst Nachtzuschlag kriegt, könnt ihr mal davon ausgehen, dass ab jetzt ALLE Durchsuchungen nachts stattfinden werden.
Oh und komm, Atze, wenn wir schon die leckenden Giftmüllfässer anfassen ... was haben wir denn da noch? Wie wäre es mit diesem hier!
Mit dem Vorhaben wird der Gesetzgeber auch eine einheitliche Rechtsgrundlage schaffen, mit der die Polizei und andere Sicherheitsbehörden wie der Zoll automatisierte Kennzeichenlesesysteme (AKLS) im öffentlichen Verkehrsraum zu Fahndungszwecken nutzen können.Der Staat ist wie die Kirche. Die Kirche dient einem omnipräsenten, allmächtigen Mann im Himmel, ABER SIE BRAUCHT MEHR GELD VON EUCH!!1!
Der Staat zwängt euch Geburtsurkunden, Personalausweise, Reisepässe, Steuernummern, Kontodatenabschnorchelung zur Geldwäschebekämpfung, Stammdatenhaltung in den Bürgerämtern, Meldepflichten bis zum Abwinken, sie nehmen eure fucking Fingerabdrücke auf, dann der große Lauschangriff, jetzt auch noch Trojanereinsatz gegen eure Telefone, aber SIE BRAUCHEN MEHR DATEN ÜBER EUCH!!1!
Nicht aus tatsächlichen Gründen. Nur damit ihr euch nicht daran gewöhnt und nicht mehr merkt, wer hier der Chef ist und von euch fordern kann was sie wollen. Daumenschrauben zieht man ja auch nicht direkt voll an, sondern man zieht sie langsam immer fester zu. Damit das die ganze Zeit schmerzt!
Wenn einem sonst nichts einfällt, begründet man das gerne mit "Sicherheit".
Kreditkarten. Personalausweis. Euro-Banknoten. Reisepass.
Wir hatten vorher schon kaum messbare Betrugsraten, aber es ging ja nie um den Betrug bei dem Scheiß. Es ging um Aufträge für die privatisierte Bundesdruckerei. Industrieförderung.
Warum erwähne ich das?
Weil die nächste Kampagne gerade anrollt: Die Impfpässe sind so schrecklich fälschbar!1!!
Mir fällt gerade kein Präzedenzfall ein, wo so eine Kampagne jemand anderem als der Bundesdruckerei einen Geldregen verschafft hätte.
Unsere Steuergelder bei der Arbeit!
Da stellen sich ja auch wieder direkt ein paar Fragen.
Wieso ist da die 1. Impfung nach der 2. Impfung? :-D
Wenn die Perso-Nummer draufsteht, wieso dann auch Name und Geburtsdatum?
Wirft das nicht einen Haufen neuer Problem auf? Ich hab irgendwie im Hinterkopf, dass der Personalausweis im Wesentlichen nur von Behörden kopiert / zur Identitätsfeststellung benutzt werden darf, und dass man die Personummer niemals nie nicht in Datenbanken speichert wegen Datenschutzbedenken. Ich bin mir nur gerade nicht sicher, ob das bloß best practices / gesunder Menschenverstand ist oder ob es da eine gesetzliche Grundlage für gibt.
Ich verstehe gerade ehrlich gesagt nicht, wieso überhaupt irgendwas privatwirtschaftliches an den Impfstatus gekoppelt werden soll. Du schreibst einfach ins Gesetz rein, dass man ohne Impfung nicht fliegen darf. Wenn jemand ohne Impfung ins Flugzeug ins Ausland steigt, werden die Zollbehörden an der anderen Seite das anhand seines Impfpasses feststellen und ihn abweisen. Die anderen Leute im Flieger sind ja geimpft, er schadet also erstmal nur sich selbst.
Wenn der ins Inland fliegt oder sagen wir mal die Bahn nimmt, dann sehe ich das trotzdem nicht als Problem des Transportunternehmens an. Wenn eine Kommune findet, dass niemand ohne Impfung einreisen darf, dann sollen sie gefälligst auch die Polizisten bezahlen, die sich die Ausweise zeigen lassen.
Wenn jemand in dem Restaurant sein Essen bezahlt, dann fordert ja auch niemand von dem Restaurateur, dass er prüft, ob die Kohle ordentlich versteuert war.
Niemand in der Privatwirtschaft muss sehen können, ob ich geimpft bin oder nicht. Das geht die schlicht alle genau nichts an.
Kommen wir zur zweiten Hälfte des Problems: Dass der Staat Bewegungsprofile erstellen kann, und sich unseren Perso einfach so zeigen lassen darf. Das ist auch außerhalb des Impfkontextes ein Problem, über das man mal in Ruhe reden sollte. Die Briten und Amis haben keine Personalausweise und der Pass ist optional und die leben ja auch noch. Die meisten jedenfalls. Vielleicht könnte man da bei uns auch mal ein paar Schichten Überwachungsstaat seiteneffektarm zurückrollen.
Update: § 16 Abs 4 des Paßgesetzes sagt:
Die Seriennummern dürfen nicht mit Hilfe automatisierter Verfahren zum Abruf oder zur Verknüpfung personenbezogener Daten verwendet werden.
Es gibt Ausnahmen für Polizei, Passbehörden und Geheimdienste, aber selbst die dürfen das nur zweckgebunden.
Update: Ich glaube ich habe mich verguckt und die Personummer war auch bei der letzten Iteration schon dabei. Im Alter lässt halt das Augenlicht nach *hust*
Update: Im Personalausweisgesetz gibt es eine fast wortgleiche Regelung wie im Paßgesetz.
https://verification.dev.ubirch.com/v/gd-vcc/#f=Musterfrau;g=Erika;i=Altötting;r=BioNTech %2F Pfizer Corminaty®;b=19640812;d=20210114,20210121;t=vaccination;p=T22000129;s=1p7v3g6whqwWenn wir nochmal kurz gucken, was die dem ehemaligen Nachrichtenmagazin erzählt hatten:
Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum und dem verwendeten Impfstoff generiert wird. Er wird kryptografisch signiert und in insgesamt fünf Blockchains hinterlegt.Inzwischen haben sie das wie folgt korrigiert:
Der QR-Code setzt sich zusammen aus personenbezogenen Daten wie dem Namen, den Angaben zum Impfdatum, dem verwendeten Impfstoff sowie einer Zufallszahl. Aus diesen Daten wird ein nach Angaben von Ubirch anonymer Fingerabdruck generiert, der nicht erratbar ist. Er wird kryptografisch signiert und – aus Gründen der Redundanz – in insgesamt fünf Blockchains hinterlegt.Ich vermute mal, dass sie beim Copy+Paste danebengeklickt haben. Journalismus ist schwierig, let's go shopping.
Jedenfalls beinhaltet diese URL offensichtlich persönliche Daten und ist daher kein anonymer Fingerabdruck.
Auf der anderen Seite sagt Ubirch an anderer Stelle, das sei ein Sicherheitsmerkmal ihrer Architektur, dass der Geimpfte selbst entscheidet, wem er den QR-Code zeigt. Das würde man nicht sagen, wenn der QR-Code tatsächlich anonym wäre.
Was mich jetzt an dieser URL noch stört: Ich sehe da keine Signatur. Ihr? Das ist doch völlig absurd, einen QR-Code mit unsignierten Daten zu verbreiten, oder übersehe ich da was?
Immerhin, als Kontext: Wenn man sein Impfbuch vorzeigt, steht da auch der Name dran.
So ist dieser QR-Code jedenfalls erstmal wertlos.
Mal aus Sicht eines Technikers: Es gibt hier zwei Probleme. Erstens willst du etwas haben, das du vorzeigst, und dann weiß die Gegenseite, dass du reisen darfst. Das sieht aus wie ein herkömmliches Authentisierungsproblem, aber ist es streng genommen nicht, denn bei herkömmlicher Authentisierung hat der Accountinhaber ein Interesse daran, seine Berechtigung nicht weiterzugeben. Hier musst du geradezu davon ausgehen, dass die Leute ihren negativen Impfbescheid an die Familie weitergeben oder auf Ebay verhökern.
Zweitens: Du willst möglichst wenige persönliche Daten auf dem Token haben.
Beide Probleme sind an sich gelöst. Du könntest ein signiertes Token rausgeben, die Signatur könnte von jedem offline geprüft werden, und fertig wäre die Laube. Aber das wäre dann halt weitergebbar.
Oder du könntest ein Token machen, wo der Name dransteht. Dann muss beim Prüfen auch der Name geprüft werden. Das ist ein ungelöstes Problem. Klar, man kann sich den Personalausweis zeigen lassen, aber damit verletzt man ja die 2. Anforderung, möglichst wenig Daten herauszugeben.
Ich sehe daher keinen Weg, wie man beide Anforderungen gleichzeitig erfüllen kann. Jedenfalls nicht, solange das Vorzeigen können eines Impfnachweises geldwerte Vorteile verschafft, wie z.B. dass man reisen darf oder ins Theater oder ins Restaurant oder was da gerade alles diskutiert wird.
Ich würde daher hier gerne noch ein anderes Fass aufmachen: Wenn ich eh meinen Namen verraten muss, damit die Gegenseite den digitalen Impfnachweis prüfen kann, wieso machen wir dann überhaupt das ganze Digital-Voodoozeugs hier? Wieso machen wir dann nicht einfach wie bisher ein analoges Impfbuch? Oder halt einen Zettel, wo der Name draufsteht, und eine Unterschrift vom Amt?
Update: Einige Leser haben mal nach der Signatur gesucht und den "s=1p7v3g6whqw"-Parameter gefunden. Den hatte ich direkt verworfen, weil der für eine Signatur viel zu kurz ist. Eine Signatur wäre sowas wie 2048 Bit lang, in Base64 (wie hier das s) wären das über 300 Zeichen. Aber es stellt sich raus: Wenn du den s-Wert änderst, dann "validiert" der das nicht mehr. Es könnte also sein, dass die das tatsächlich meinten, als sie von Signatur sprachen. Das wäre echt bemerkenswert schlecht. Selbst für jemanden, der Iota und Ethereum einsetzt.
Gute Wahl. IBM hat langjährige Erfahrung damit, der deutschen Regierung die internen Abläufe mit Hollerith-, äh, ich meine, Blockchain-Technologie zu optimieren!!1!
Außerdem, wenn es eine Firma gibt, bei der man nichts, äh, ich meine nur Gutes von deren IT-Projekten hört, dann ist es ja wohl IBM!
Da wächst zusammen, was zusammengehört. Eine Regierung, die technologisch aus den 1980ern ist, kauft bei einem Zulieferer, dessen letzte Erfolge in den 1980ern liegen. Damals hieß es unter Einkäufern: Niemand ist jemals gefeuert worden, weil er IBM gekauft hat.
Ich hoffe, dass das diesmal anders läuft. Viel Hoffnung habe ich aber nicht. Dafür müssten Spahn und Scheuer ja öffentlich zugeben, dass der Auffahrunfall hinter ihnen, den alle klar sehen können, tatsächlich existiert. Wahrscheinlicher ist, dass die wieder Gaslighting betreiben, das alles ok ist, und was es an kleineren Problemchen gibt halt nicht vermeidbar gewesen wäre.
Update: Während bei der Tagesschau steht, das eine beteiligte Unternehmen sei auf "Datensicherheit mithilfe der Blockchain-Technologie spezialisiert", klingt das beim ehemaligen Nachrichtenmagazin so:
Der Kölner Anbieter Ubirch setzt auf QR-Codes und Blockchain-Verifizierung. Mit an Bord: IT-Riese IBM.
Alter Falter, und ich mach noch Blockchain-Witzchen! Auf der anderen Seite: Was sonst wäre von einer Kompetenzkanone wie Spahn zu erwarten gewesen?
Update: Hier ist die Selbstdarstellung von Ubirch:
UBIRCH denkt IoT-Sicherheit neu und geht dabei einen revolutionären Weg: auf Basis etablierter und robuster Kryptografie- und Blockchain-Technologie. [...] Funktioniert übrigens auch weltweit als erste Blockchain-on-a-SIM-Lösung.
Wie weit darf Satire gehen?
Update: Aus dem Spiegel-Artikel:
Technisch funktioniert das Ubirch-System so: Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum und dem verwendeten Impfstoff generiert wird. Er wird kryptografisch signiert und in insgesamt fünf Blockchains hinterlegt.
Da stellen sich direkt einige Fragen. Wenn der Fingerabdruck aus personenbezogenen Daten generiert wird, wieso ist er dann anonym? Wenn er anonym ist, wie hilft er dann beim impfen? Wenn er anonym ist, aber wieder mit einer Identität verknüpft wird, damit man erkennen kann, ob jemand geimpft ist, welchen Wert hat dann die Anonymisierung und wieso wird sie überhaupt gemacht? Wer signiert hier kryptografisch? Und wieso wird der in fünf Blockchains hinterlegt? Eine wäre nicht sicher genug? Wieso nicht sieben? Wieso nicht 23?
Wenn man der Erklärung bei Ubirch hinterherklickt, findet man:
Entscheidend ist, dass nur die geimpfte Person über diesen QR-Code verfügt und nur sie entscheidet, wem sie ihn später zum Zwecke der Verifikation vorzeigt.
Wofür brauchen wir dann die Blockchains?
Es gibt keinen zentralen Speicherort.
Bis auf die fünf Blockchains, oder zählen die nicht, weil die "dezentral" sind?
Bei Bedarf kann durch den Digitalen Impfnachweis jederzeit gegenüber Dritten nachgewiesen werden, dass der Impfstatus unverfälscht ist. Dazu muss lediglich der QR-Code gescannt werden und die Angaben zur Person mit einem gültigen Identitätsnachweis z. B. dem Personalausweis abgeglichen werden.
Wie watt? Ist das Impfzeug jetzt personengebunden oder nicht? Wie soll man denn sehen können, dass ich da nicht den QR-Code meines Nachbarn vorzeige, wenn der angeblich anonym ist?
OK, ich stell mir das so vor: Die machen einen Hash über die Impfdaten und Name+Anschrift und signieren den. Zum Verifizieren scannst du den QR-Code, da holt er die Impfdaten raus und macht einen Hash darüber und über Name+Anschrift aus dem vorgezeigten Personalausweis. Das klingt erstmal gut, aber was wenn jemand den Namen ändert oder umzieht? Muss derjenige sich dann auch nen neuen QR-Code holen?
Update: So besiegen wir die Pandemie! Das Virus lacht sich tot!
Update: Übrigens, zur Sicherheit explizit: Ein Hash über personenbezogene Daten ist nicht anonym sondern pseudonym. Das ist ein Unterschied, auch juristisch im Kontext der DSGVO.
Bei Cloud-Deployments sehe ich häufig so eine Art Assoziationsfehler. Das ist wie wenn man einen Brief voller Grammatik- und Tippfehler dann aber auf hochwertigem Papier ausdruckt, in der Hoffnung, das die Qualität abfärbt. Die Leute schieben stinkenden Scheißcode in die Cloud und malen sich dann aus, dass die angenommene Professionalität der Amazon-Cloud auf die App überspringt. Und in der Tat stinkt das dann ja nicht bei dir im Keller sondern bei Amazon im Rechenzentrum. Es ist viel einfacher, da nicht hinzugucken. Wenn es platzt, dann mietest du halt mehr Server.
So scheint das auch hier gelaufen zu sein.
Verschärfend kommt aber hinzu, dass Parler für die Accountvalidierung verlangt hat, dass man einen Scan einer Photo-ID hochlädt, was in den USA in der Praxis dann der Führerschein ist, der im täglichen Gebrauch eine ähnliche Funktion wie unser Personalausweis erfüllt. Diese ganzen Scans lagen da in der Amazon-Cloud und wurden jetzt von den fiesen Linksextremistenhackerterroristen rausgezogen. So jedenfalls die Gerüchtelage.
Ich kann da nur staunen, muss ich sagen. Dass angebliche Revolutionäre bisher so wenig Kontakt zu repressiven staatlichen Organen hatten, dass sie keine Sorgen dabei haben, irgendwelchen beschissenen Webseiten eine Perso-Kopie auszuhändigen. Und dann da Nachrichten zu posten wie dass der Vizepräsident für seinen Verrat gehenkt werden sollte.
Ich vermute mal, dass diese Daten mehr oder weniger zeitnah bei den Strafverfolgungsbehörden oder dem Secret Service landen werden, die dann entsprechend der Reihe nach die Leute aus dem Verkehr ziehen werden.
Das Gesetz heißt (das ist einer für Freunde des gepflegten Euphemismus): Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen
Ihr habt es hier zuerst gesehen. Datensparsamkeit und Datensorgfalt. Von CDU/CSU. Von wem auch sonst.
Hey, gut dass wir auch SPD, Grüne, FDP, AfD und Linke im Parlament haben. Nicht auszudenken, was passieren würde, wenn niemand die Union vom Durchdrehen abhalten würde!1!!
Keine Zeit mehr für andere Meldungen? Geht alles im selbstupdatenden Covid-Terrorpanikticker unter?
Schade eigentlich, denn die Politik hat die Gelegenheit erkannt, mal so richtig ihre verschissenen alttestamentarischen Sexmoral mit Gewalt über die Bevölkerung zu drücken, weil die gerade die Hände mit dem Kampf gegen die Maskenpflicht voll hat.
Fall 1: Polizei löst Fetisch-Party auf. Je nach eurer Lebenserfahrung werdet ihr unter Fetischparty verschiedene Dinge verstehen. Die Polizei hofft jedenfalls, dass ihr euch da eine Orgie in einem dunklen Keller vorstellt, so mit Vollkörperkontakt und so. Tatsächlich war das a) draußen an der frischen Luft und b) wohl eher ein Maskenball. Statement des Veranstalters.
Fall 2: Die Landesmedienanstalt NRW holt passend zu Halloween mal wieder den Zombie DNS-Blockage aus dem Sarg, diesmal gegen Pornoseiten, die nicht vorher das Alter verifizieren.
Was für eine unfassbar bekloppte Idee. Wie wäre es mit elterlicher Verantwortung, Kinder nicht unbeaufsichtigt surfen zu lassen? Und Jugendlichen beizubringen, wie man mit dem Internet umgeht? Und nicht zu versuchen, Menschen vom Sex abhalten zu wollen?
Der erwartet ernsthaft, dass Pornoseiten sich gescannte Personalausweise hochladen lassen, die sie dann automatisiert prüfen können. Klar, genau was die Kunden von Pronoseiten machen wollen werden.
Nehmen wir nur mal die WHO. Die WHO war ja mal gedacht als sowas wie die NATO nur in zivil und für die Gesundheitsvorsorge. Die Staaten zahlen alle freiwillig in deren Budget ein, und die WHO sorgt dann dafür, dass es eine gemeinsame Faktenbasis untermauert von ordentlichen Studien gibt, und da nicht irgendwelche Staaten eine Packung Hysterie durchziehen können. Der Vorsitz wird gewählt. Der Laden untersteht den Vereinten Nationen und sitzt in Genf. Die Idee ist, dass da kein religiöser Fanatiker z.B. Genitalverstümmelung als medizinischen Eingriff deklarieren kann.
Und was passierte? Stellt sich raus: Die Regierungen haben alle gar keinen Bock darauf, eine unabhängige Institution zu finanzieren, die ihnen dann mit ihren doofen Fakten in ihre Politik reinreden. Also geben die Staaten alle nur das Nötigste bis gar nichts. Und den Rest? Den muss sich die WHO jetzt halt von der Pharmamafia und Bill Gates zusammenbetteln.
Und dann kommen ernsthaft dieselben Leute, die gerade noch ihre Beiträge nicht zahlen wollten, und werfen der WHO vor, sie sei aber nicht unabhängig genug. Die Stirn muss man erstmal haben!
Ich weiß nicht, wie das bei euch so gehandhabt wird, aber in meinem Haus werden solche Leute ausgelacht.
Aber aber aber Bill Gates will doch Impfungen verkaufen! Nein. Bill Gates ist in Rente. Seine wohltätige Non-Profit Stiftung gibt Impfstoff-Forschern Vorfinanzierung. Wenn die dann Profit machen, dann generiert das Einnahmen für die Stiftung, die sie dann satzungsgemäß wohltätig verwenden kann, um mehr Impfungen zu erforschen. An keiner Stelle davon bereichert sich Bill Gates an irgendwas.
Ist das jetzt alles super und Blümchenwiesen? Nein, natürlich nicht. Die Idee, dass Impfstoffe patentierbar sind, finde ich zutiefst widerwärtig. Aber das hat ja nicht Bill Gates erfunden. Im Gegenteil. Microsoft hat jahrelang keine Patente beantragt. Bis sie dann massiv von Patenttrollen heimgesucht wurden. Da haben sie dann erstmal Lobbyismus zum Schwächen der Patentierbarkeit von Software-"Erfindungen" betrieben. Das hat nicht funktioniert. Also haben sie auch zu patentieren angefangen. Gates ist hier eher Opfer als Täter, auch wenn er halt schlau genug ist, in so einem System dann netto positiv rauszukommen. Wenn es nach mir ginge, gehört das Patentsystem international in einen Parkplatz umgewandelt. Patentanwälte in die Produktion. Ich hörte, es werden noch Spargelstecher gesucht.
OK OK, Fefe, gut, den Punkt geben wir dir. Aber der Bill Gates will doch die Überbevölkerung bekämpfen und uns alle umbringen!!1!
Bill Gates sieht die Überbevölkerung als Problem. Ich übrigens auch. Wenn du finite Ressourcen hast, dann solltest du nachhaltig wirtschaften. Das tun wir nicht.
Stellt sich raus: Die meisten Kinder kriegen Menschen in Armut. Das hat die Biologie so eingerichtet. Wenn nur wenige deiner Kinder überleben, bis sie erwachsen sind, dann setzt du halt mehr Nachwuchs in die Welt. Und machst damit das Problem schlimmer, weil mehr Menschen leiden.
Bill Gates sorgt jetzt dafür, dass weniger Kinder sterben. Das führt kurzfristig zu einem Sinken des Leidens auf dem Planeten, und langfristig zu fallendem Bevölkerungswachstum. Das jetzt so zu spinnen als wolle Bill Gates Menschen umbringen ist ungefähr so absurd wie Vergewaltigungsopfern die Abtreibung zu verbieten, weil Abtreibung ja Mord ist. Ihr solltet euch alle schämen, wenn ihr auch nur in Erwägung gezogen habt, Bill Gates diesen Vorwurf zu machen.
OK OK Fefe, aber der Bill Gates will uns doch alle microchippen, damit wir besser unterjochbar sind!!1! Äh, … nein. Die Stiftung von Bill Gates zahlt für alle möglichen Forschungsprojekte. Eines davon war, ob man so eine Art QR-Code mit Spezialtinte als fünf Jahre haltentes Tattoo in der 3. Welt aufbringen kann, um in wirklich strukturschwachen Regionen trotzdem wiedererkennen zu können, ob man jemanden schonmal geimpft hat. In Ländern, wo es keine Impfausweise gibt, keine Pässe, nicht mal ein Geburtenregister. Ist das eine tolle Idee mit den Quanten-Punkten? Gute Frage. Ich sehe Vor- und Nachteile. In unserem Land zwingen wir Leute dazu, einen Personalausweis zu haben und bei Bedarf vorzeigen zu können. Und wir sammeln ihre biometrischen Daten ein. Ich finde nicht klar, wie jemand die Quanten-Punkt-Idee kritisieren kann, der nicht auch gegen die Ausweispflicht in Deutschland auf die Straße gegangen ist.
Zusammenfassend also: Wenn jemand Bill Gates und Verschwörung in einem Kontext verwendet, dann könnt ihr im Allgemeinen die gesamte Äußerung getrost im runden Bullshit-Ordner abheften.
Im Übrigen müssen wir hier glaube ich mal eine Medienkompetenzübung zu Medizin-Journalismus machen. Dass läuft üblicherweise so ab. Anfang März kommt ein Journalist zur WHO, fragt, ob man sicher wisse, dass Covid-Infizierte Immunität aufbauen, und die WHO dann den Sachstand korrekt als "Nein, wissen wir nicht sicher" wiedergibt, dann steht in der Presse: "WHO: Patienten bauen möglicherweise keine Immunität auf". Und beim Leser kommt dann an: "WHO: Man kriegt Covid mehrfach".
Update: Und wenn der Westen die WHO wegen dieser Taiwan-Farce kritisieren, könnte ich das auch ernst zu nehmen in Erwägung ziehen, wenn der Westen nicht vorher dafür gesorgt hätte, dass die WHO fiskalisch von den Chinesen abhängig ist, die offenbar immer zeitnah und in voller Höhe ihre Beiträge zahlen.
Update: Stellt sich raus: Doch, die WHO vertritt Genitalverstümmelung. Aber halt bei Männern, nicht bei Frauen. Gut, aber die WHO ist ja evidenzbasiert, das müsste man ja dann auch evidenzbasiert wegkriegen...?
Update: Alter Schwede. Je mehr Bullshit du von deinem Grundstück schaufelst, desto mehr Müll kommt hinterher. Aber Fefe, Bill Gates hat doch in Afrika Frauen sterilisieren wollen! Das sagt diese eine ultra-glaubwürdige katholische Bullshit-Seite!1!! Das ist ein Gerücht, das von katholischen Abtreibungsgegner-Fundamentalisten verbreitet wurde, die sich Sorgen machten, wenn Bill Gates da gegen Tetanus mit wissenschaftlichen Erkenntnissen kommt, dass der dann vielleicht auch an anderer Stelle die Bevölkerung mit evidenzbasiertem Denken korrumpieren könnte. Und hey, das ist ja wohl offensichtlich der Worst Case für jede organisierte Religion, wenn die Leute sich mit eigenständigem Denken infizieren.
Wisst ihr, was mich am meisten aufregt an dieser ganzen Nummer? Dass ihr euch von all den ekelhaften widerlichen Milliardären ausgerechnet den einen als Feindbild aussucht, der seine Kohle verschenkt, und zwar explizit mit dem Auftrag, den Menschen evidenzbasiert zu helfen. Ich stimme nicht an allen Punkten mit Bill Gates überein, z.B. findet er, dass genmanipulierte Pflanzen nötig sind, um die Bevölkerung des Planeten zu ernähren, und er ist ein Fan von neuen Atomkraftwerken. Aber zu seinen Anschauungen kam er durch Betrachten der Zahlen, nicht wie ich durch Ideologie und Worst-Case-Betrachtung. Selbst bei unfreundlichster Betrachtung der Realität kann man daraus keine Bösartigkeit konstruieren, höchstens eine Fehleinschätzung. Oder es kommt am Ende raus, dass er völlig Recht hatte.
Also. Wenn ihr Wut auf Milliardäre habt, dann nehmt euch doch bitte welche, die mit ihrem Geld schädliche Dinge tun. Wie wäre es mit den CEOs der Öl- und Tabakkonzerne. Oder den Chefs der "Investoren", die unseren sozialen Wohnungsbau gekauft haben, und jetzt Profitmaximierung machen. Oder wie wäre es mit den Chefs der Waffenkonzerne? Oder bleibt von mir aus bei Tech-Firmen. Aber dann geht man doch nicht gegen Bill Gates sondern gegen Leute wie Larry Ellison, der m.W. nie auch nur versucht hat, mit seiner Kohle mal etwas positives zu tun. Oder gegen Jeff Bezos von mir aus.
Update: Der Bill-Gates-Bullshit in meiner Inbox wird immer dichter. Jetzt kommen so Kritikpunkte wie dass Bill Gates impffixiert sei und seine Stiftung auch mal was für Bildung und Ernährung tun sollte. Und wisst ihr, was der erste Link in dieser Mail war? Telepolis von 2016. Und wisst ihr, was Telepolis 2016 schrieb? Ich zitiere mal:
Fakt ist: Die BMGF investiert mehr Geld in globale Gesundheits-, Bildungs- und Ernährungsprojekte als jede demokratisch gewählte Regierung der Welt.
Leute, ich hab echt keinen Bock auf euren Spam. In Fragen wie Bill Gates bin ich nicht an eurer Meinung sondern an Argumenten interessiert. Wer es nicht schafft, mir Argumente zu schicken, die die ersten 10 Sekunden nach Öffnen der E-Mail überleben, der sollte mir und sich selbst den Gefallen tun und mir lieber keine Mails schicken.
Bitte vergessen Sie ab morgen nicht, Ihren Personalausweis oder einen anderen amtlichen Lichtbildausweis nebst einem Dokument, aus dem Ihre Wohnanschrift ersichtlich ist, mitzuführen.
Warum stehen die Schlange? Nun, die Uni Gießen war nach einem Ransomware-Incident offline. Dann sind sie einmal rumgelaufen und haben desinfiziert (mit dem Schlangenöl-Image von der c't und nicht für Rotgrünblinde geeigneten Farbaufklebern zum Markieren der "fertig desinfizierten" PCs).
So und jetzt hat die Uni allen die Account-Passwörter resettet und man muss sich ein neues abholen. Das hat zu obiger Schlangenbildung geführt, weil man dafür persönlich hingehen und seine Identität mit dem Personalausweis o.ä. nachweisen muss.
Wer also bei der Schlange an die Schlange an der Essensausgabe in einem Dickens-Roman dachte, liegt nicht völlig falsch. Auf eine Art stehen hier unterprivilegierte Menschen für Internet an :-)
Update: Wenn ihr euch übrigens fragt, wie es kommen kann, dass eine Uni so runtergefahren wird, dann hat dieser Artikel die Antwort:
Der Präsident nennt es eine "digitale Naturkatastrophe".
Oh, eine Naturkatastrophe! Kommt aus heiterem Himmel und man kann nichts machen? Ja gut, dann ist das auch nicht verwunderlich, wenn die Uni Gießen komplett auf dem falschen Fuß erwischt wird und erstmal eine Woche offline ist.
Ich hätte ja gerne mal Statistiken, wie viele geile Forschungserkenntnisse jetzt fertig geworden sind, wo man endlich ohne Ablenkung und Störungen durcharbeiten kann.
Mit 335 zu 269 Stimmen hat das EU-Parlament am Donnerstag eine Verordnung "zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern" verabschiedet.Wenn irgendwas, wo die CDU beteiligt ist, die Sicherheit erhöhen will, dann weißt du, es geht immer zu deinen Lasten. So auch diesmal:
Damit wird vorgeschrieben, zwei digitale Fingerabdrücke in neu ausgestellte Ausweispapiere aufzunehmen. Auf die biometrischen Daten sollen unter anderem Polizei, Zoll, Steuerfahndung und Meldebehörden zugreifen können.Fühlt ihr euch auch gleich viel sicherer?
Und das so kurz vor der Wahl!
Wer sich jetzt denkt: Der Datenschutz wird uns retten! Für den habe ich schlechte Nachrichten:
Die EU-Gremien haben mit ihrer Übereinkunft aber einen Zusatz in Artikel 10 eingebaut, wonach die Mitgliedsstaaten die biometrischen Informationen auch für andere, nicht näher bestimmte Zwecke jenseits der "Personalisierung" der Ausweise und der reinen Identitätsprüfung verwenden dürfen. Einzige Bedingung dafür ist, dass die weiteren Nutzungsformen dem allgemeinen EU-Recht und nationalen Gesetzen entsprechen.Ja super!
Das will die EU ändern und in all ihren Mitgliedsstaaten Führerscheine nach gleichem Standard einführen, auch um die Papiere fälschungssicherer zu machen.Aha. Soso. Führerscheinbetrug, ja? Hört man ja immer wieder!
Was ich ja nicht verstehe: Wieso man da neue Führerscheine ausrollen muss. Selbst unter der Annahme, dass da Fälschungen ein Problem sind. Auf dem Führerschein steht ja der Name und die Nummer. Und es gibt eine Datenbank irgendwo, welcher Führerschein gültig ist und welcher nicht. Macht halt die Polizei einen Lookup übers Mobilfunknetz. Lässt sich auch den fälschungssicheren Personalausweis zeigen und vergleicht den Namen. Fertig.
Uns wird doch hier schon wieder ins Gesicht gelogen!
Update: Es waren die estnischen Personalausweise.
The flaw resides in the Infineon-developed RSA Library version v1.02.013, specifically within an algorithm it implements for RSA primes generation.
Update: Das betrifft übrigens auch Leute, die mit ihrem Yubikey PGP machen.
Daher weiter mit der Reihe „Deutsch lernen mit Fefe“.
Zeitgleich und gleichzeitig.
Zeitgleich heißt, dass jemand die gleiche Zeit hatte (in einem Rennen beispielsweise). Gleichzeitig heißt, dass zwei Dinge zum selben Zeitpunkt geschehen. Wenn zwei Läufer gleichzeitig loslaufen und ankommen, kamen sie auch zeitgleich ins Ziel. Sie wären auch zeitgleich im Ziel, wenn erst der eine und dann der andere laufen.
Kostenlos, umsonst und gratis.
Kostenlos heißt, dass mir keine Kosten entstehen. Ein Facebook-Account ist kostenlos. Jemand anderem können dabei natürlich doch Kosten entstehen, aber der holt sich sein Geld auf andere Art rein oder setzt es als Werbemaßnahme von der Steuer ab.
Gratis und kostenlos sind Synonyme.
Umsonst wird auch häufig in dem Wortsinn benutzt, heißt aber eigentlich "vergebens" oder "hat nichts gebracht". Eselsbrücke: "Meine Schulbildung war kostenlos, deine umsonst" :-)
"vor Ort" und "an Ort und Stelle".
Grob gesagt: "vor Ort" bedeutet "dort", "an Ort und Stelle" bedeutet "hier". Wenn mein DSL kaputt ist, und ich bei der Telekom ein Ticket aufmache, und der Techniker repariert das "vor Ort", dann kommt er zu mir und repariert es bei mir. Wenn der Techniker das "an Ort und Stelle" repariert, dann ist er bereits da, wo der Fehler ist, und repariert es, wo er gerade ist.
"Sensibel" und "sensitiv".
Der ist einfach. "Sensitiv" gibt es nicht. Das ist eine kaputte Übersetzung aus dem Englischen von einer inkompetenten Gammel-Werbeagentur. Das englische Wort "sensitive" heißt übersetzt "sensibel".
"Effektiv" und "Effizient".
"Effektiv heißt, dass es wirksam ist. "Effizient" heißt, dass es seine Wirkung mit verhältnismäßig geringem Aufwand entfaltet. Effektivität ist, was der Techniker haben will. Effizienz ist, was der Wirtschaftler haben will.
"Kausalität" und "Korrelation".
"Kausalität" heißt, dass eine Sache von etwas verursacht wurde. Aus A folgt B.
"Korrelation" heißt, dass A und B häufig zusammen beobachtet werden. Man kann jetzt die Hypothese aufstellen, dass das eine dann das andere bewirkt hat, aber das folgt nicht aus der Beobachtung. Dies ist ein häufiger Fehler, besonders in der Politik. Wir haben die Strafe erhöht, und die Straftaten sind zurückgegangen. Die können auch aus anderen Gründen zurückgegangen sein!
Update: "Dediziert", "dezimiert" und "dezidiert".
"Dediziert" heißt "gewidmet". Ein dedizierter Server ist einer, der nur mir zugeteilt wurde.
"Dezimiert" kommt von einer Bestrafungspraktik im alten Rom, wo jeder Zehnte hingerichtet wurde (decimus ist das lateinische Wort für zehn). Heißt heute "mengenmäßig verringern".
"Dezidiert" kommt vom lateinischen Wort "decidere" (auch verwandt mit engl. to decide) und heißt ursprünglich "abschneiden", im übertragenen Sinn "entscheiden". Dezidiert wird auf Personen angewendet, "er hatte ein dezidiertes Auftreten" heißt, dass er entschieden auftrat, nicht mit dem Ziel, sich umstimmen zu lassen.
Update: Der Duden sagt, sensitiv gibt es doch als Wort, und zwar nicht umgangs- sondern bildungssprachlich.
Update: Oh, noch ein echter Klassiker:
"Autorisiert" und "authentifiziert".
"Autorisiert" heißt, dass bestätigt wird, dass jemand diese Aktion durchführen darf. "Bevollmächtigt", könnte man sagen.
"Authentifiziert" heißt, dass bestätigt wird, dass jemand der ist, der er zu sein behauptet. Beispiel: Personalausweis vorzeigen. Username + Login.
"Authentisierung" ist das, was der User tut, der behauptet, Fred zu sein, um zu beweisen, dass er Fred ist.
Authentisierung ist, wenn ich meinen Personalausweis zeige. Authentifizierung ist, wenn der Grenzer meinen Perso prüft.
Update: "mutmaßlich" und "vermeintlich".
Nehmen wir mal an, die Polizei hat jemanden festgenommen, weil sie glauben, er habe eine Straftat begangen. Dann ist der Mann noch nicht Täter, weil er noch nicht verurteilt wurde. Die Polizei mutmaßt aber, er sei der Täter, daher schreibt die Zeitung korrekt, er sei der "mutmaßliche Täter". Gern fälschlich synonym verwendet wird "vermeintlich". Vermeintlich heißt, dass er eben nicht der Täter ist. Jemand dachte, er sei der Täter, aber er war es gar nicht.
Die Progression ist "unbescholtener Bürger" — (Polizei hat Anfangsverdacht) "Verdächtiger" — (Polizei leitet Ermittlungsverfahren ein) "Beschuldigter" — (Staatsanwaltschaft erhebt Anklage) "Angeklagter" — (Gericht fällt Urteil) "Täter".
"Garantie" und "Gewährleistung".
Gewährleistung ist die gesetzliche Mängelhaftung eines Händlers gegenüber den Kunden.
Garantie ist eine zusätzliche, freiwillige Zusicherung eines Herstellers gegenüber Kunden.
Update: Und dann gibt es natürlich noch die Progression "Zeuge", wenn die Polizei einen Anfangsverdacht gegen dich hat, aber es dir nicht sagen will.
Wer sich jetzt denkt: Hey, Sekunde, das klingt aber wie ein potentielles Sicherheitsproblem!1!!, dem kann ich Entwarnung geben, denn:
Die Ausweise werden aber nicht am Smartphone gespeichert. Über einen zentralen Hochsicherheitsserver im Innenministerium und nur mit Zustimmung der betroffenen Person kann über eine verschlüsselte Internetverbindung auf die angeforderten Daten zugegriffen werden.Ohoooo! Na DANN ist ja alles gut! Da kann dann ja kaum noch was schiefgehen. (Danke, Florian)
Überraschung 1: Es waren wieder massenhaft Nordafrikaner angereist. Ich hätte angenommen, dass Nordafrikaner dieses Jahr demonstrativ fernbleiben, um etwaigen Polizeirepressalien aus dem Weg zu gehen.
"Wir hatten Personengruppen, die vergleichbar aggressiv waren", sagte Polizeipräsident Jürgen Mathies. Erneut seien mehrere Hundert junge Nordafrikaner nach Köln gereist.Überraschung 2: Jetzt wird wieder Kritik an der Polizei laut. Es handele sich um "racial profiling" und das ist nicht gut.
Mir ist nicht ganz klar, was die Kritiker von der Polizei erwartet haben. Das macht doch Sinn, als aggressiv auffallende Nordafrikaner zu filzen? Meinem Verständnis nach ist racial profiling, wenn man jetzt generell Nordafrikaner filzt, außerhalb von Silvester- oder anderen Feierlichkeiten und wenn es außer ihrer Herkunft keinen Anlass für die Vermutung gibt (insbesondere nicht durch ihr Verhalten), dass sie straffällig werden könnten.
Was ist denn hier jetzt die Forderung? Drehen wir das mal von Rasse auf Geschlecht um. Wäre das politisch korrekter, wenn die Polizei auch Frauen und Kinder filzt? Weil das sonst sexual profiling wäre?
Das ist nicht rhetorisch oder ironisch oder sonstwie abwertend gemeint. Ich würde wirklich gerne wissen, was die Leute erwartet haben, die der Polizei jetzt racial profiling vorwerfen.
Oder gibt es Hinweise darauf, dass die Polizei nur als Schutzbehauptung von aggressiven Nordafrikanern spricht, und da waren viel weniger oder nur völlig unaggressive Nordafrikaner vor Ort?
Update: Oh oder ist das eigentliche Problem die Wortschöpfung "Nafri" (die ich vorher noch nie gehört habe)?
Update: Ein Leser sendet diesen Bericht, der in der Tat eher nach Südafrika als nach Europa klingt. Zwei Türen, Weiße durch die linke, Ausländer durch die rechte. Der feuchte Traum der AfD. Im Neuen Deutschland klingt es noch gruseliger.
Wer einen etwas dunkleren Hauttyp hat, muss den rechten Ausgang nehmen und landet im Kessel. Diese Erfahrung macht auch ein junger Mann aus Solingen, im Kessel hält er immer wieder seinen Personalausweis hoch. Zwei Freunde von ihm, beide blond, stehen neben dem Kessel. Sie versuchen der Polizei zu erklären, dass ihr Freund Deutscher sei und einen türkischen Vater hat. Die eingesetzten Beamten wollen allerdings nicht diskutieren. Sie schicken die beiden Männer weg, sie störten eine polizeiliche Maßnahme vor dem Bahnhof, müssen sie sich vorwerfen lassen.
Update: Gute Nachrichten, "Nafri" ist total unrassistisch:
"Dieser Begriff ist frei jeder Wertung", sagte der Sprecher. Er beschreibe auch nur generell "Menschen eines bestimmten Phänotyps"
Oh ach so. Phänotyp, ja?
Der Phänotyp (altgriechisch φαίνω phaíno „ich erscheine“ und τύπος týpos „Gestalt“) oder das Erscheinungsbild ist in der Genetik die Menge aller Merkmale eines Organismus. Er bezieht sich nicht nur auf morphologische, sondern auch auf physiologische Eigenschaften und auf Verhaltensmerkmale.
Seht ihr? Alles ein bedauerliches Missverständnis!
Das ist besonders bemerkenswert, weil es in UK gar keine Passpflicht für die Bürger gibt. Und Personalausweise haben die auch nicht.
Die Begründung für diese vorgeschlagene Änderung ist:
St George’s University Hospitals Foundation trust said the problem of maternity tourism was escalating at hospitals across the country.It said it had fallen victim to “organised illegal activity” which has seen conmen making money by charging women from Nigeria to have babies on the NHS.
Wait, what?! (Danke, Magnus)
Dabei können sich Privat-Anwender gegen Vorlage eines Personalausweises oder Reisepasses eine Karte mit einer zwölfstelligen Nummer abholen. Mit dieser Kennung soll sich der kryptografisches Schlüssel aus der Volksverschlüsselungs-Anwendung generieren lassen, wenn der Dienst angeboten wird. Der private Schlüssel soll dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers bleiben.Wie, Moment, ich zeige Fraunhofer meinen Pass und dafür kriege ich eine Nummer, mit der ich den Key generiere? Kann Fraunhofer nicht mit der Nummer auch meinen Key generieren? Meinen Pass haben sie ja gesehen, also können sie auch zuordnen? Was soll die Nummer überhaupt?
Und jetzt guckt euch mal das hier an. Die Kommunen sind so pleite, dass sie jetzt aus den Sparkassen Dividende rauspressen wollen.
klammen Essen zum Beispiel, wo der Stadtrat die Sparkasse jüngst zu einer Gewinnausschüttung von 3,5 Millionen Euro verdonnerte. Oder in Düsseldorf, wo sich Stadt und Sparkasse seit Monaten eine regelrechte Keilerei um 26 Millionen Euro liefern, die Oberbürgermeister Thomas Geisel von Institutschef Andre Hallmann fordert.Da ist es nicht mehr weit bis zu Schutzgeld-Szenarien!
Schönes Geschäft haben Sie da! Wäre doch schade, wenn da eingebrochen würde, und wir so pleite waren, dass wir die Polizei zusammengekürzt haben!
Update: Oh, übrigens, in schöner neoliberaler Manier wird der Markt das schon lösen :-)
(5) Sonstige Diensteanbieter, die einen Internetzugang nach Absatz 3 zur Verfügung stellen, können wegen einer eechtswidrigen Handlung eines Nutzers nicht auf Unterlassung in Anspruch genommen werden, wenn sie zumutbare Maßnahmen im Sinne des Absatzes 4 ergriffen haben und die Namen der Nutzer kennen, denen sie den Zugang gewährt haben.Das wird dann vermutlich ein Gericht klären müssen, ob ein "bitte geben Sie hier Ihren Namen ein, damit wir Sie ins Internet lassen können" reicht, oder ob man da den Personalausweis kontrollieren muss. In jedem Fall ist das steinzeitlich und die sollten sich alle was schämen.
Ich wüsste ja gerne, welche Art von Belohnung die Five Eyes Deutschland für die Einführung des elektronischen Personalausweises in Aussicht gestellt haben. Der Rest der Welt führt Perfect Forward Secrecy ein, unsere Regierung führt kryptographisch sichere Zuweisbarkeit einer IP zu einem Menschen ein. Mit hinreichend starker Krypto für geheimdienstliche Zuordnung, aber zu schwacher Krypto für tatsächliche Sicherheit. Abgesehen davon, dass man richtige kryptographische Zuordnung ja generell nicht haben will, weil das die Metadaten der NSA vergoldet.
Voraussetzung für die Akzeptanz elektronischer Behördendienste sind Datenschutz und Sicherheit der Kommunikation und Angebote. Die Kommunikation muss daher sicher sein. Wir werden die Weiterentwicklung von DE-Mail dahingehend forcieren, dass bestehende Sicherheitslücken bei der Verschlüsselung geschlossen werden und dieses Angebot damit für die Bürgerinnen und Bürger ein geeignetes Mittel der Datenübertragung wird.Mit anderen Worten: Sie geben zu, dass De-Mail im Moment Sicherheitslücken bei der Verschlüsselung hat und kein geeignetes Mittel der Datenübertragung ist. Einsicht ist der erste Schritt zur Besserung.
Gucken wir uns doch mal an, was sie (direkt im Anschluss) über das andere inhärent unsichere Sicherheitssystem sagen, dass sie uns allen gegen unseren Widerstand überzuhelfen versucht haben:
Die Identifizierungsfunktion des neuen Personalausweises und die Nutzung von Ende-zu-Ende-Verschlüsselungen sind grundsätzlich anzuwenden.OH NEEEEEIIIIIIIN! Die Vollpfosten glauben, De-Mail sei unsicher, weil es noch keine Pflicht zur elektronischen Fußfessel gibt!
Der Chaos Computer Club wird ausdrücklich und an erster Stelle als Krisenerzeuger bzw. Krisenquelle dargestellt/gebrandmarkt.Denn nicht die inhärente Unsicherheit, die inkompetente Umsetzung, das das Scheitern vorwegnehmende den Namen kaum verdienende "Konzept" sind Schuld am Totalversagen, nein, die Kritiker sind Schuld!
Tja, und wenn ihr jetzt hört, dass es eine massive Kampagne gibt, an wen denkt ihr da zuerst? Na? Na klar!
Unglaublich, aber wahr: Der Axel-Springer-Verlag geht eine exklusive (vertragliche?) Bindung mit der Bundesregierung ein und wird vom Bundesinnenministerium dafür bezahlt, den E-Perso in Bild, Welt & Co. als “Volksausweis” zu propagandieren. Regelmäßig wiederkehrend und selbstverständlich nur unter Nennung der Vorteile.Denn wenn schon die rechtsaußen-nationalkonservative "Union" am Ruder, dann auch mit dem entsprechenden Wortschatz!
Ich würde da gar nicht auf das BSI zeigen wollen. Der CCC ist seit Jahren eher unterzeugt von der Software. Und bei mir hört die Beweisführung schon bei "ist eine Java-Anwendung" auf. Java!! (Danke, Marcus)
hier war bereits der Ausruf der Polizei “Alle Mittel freigegeben” zu hören*grusel*
Auch Anwohner_innen kamen mit ihrem Personalausweis nicht durch die Polizeisperren.und
Wir werden nicht akzeptieren, dass den Nazis von der Stadt Magdeburg für ihren revisionistischen “Trauermarsch” der rote Teppich ausgerollt wird und sie von der Polizei Begleitschutz bekommen, wärend in der Innenstadt Antifaschist_innen niedergeknüppelt werden. Dass sich einige Nazis im Anschluss bei der Polizei dafür bedankten, spricht eine eindeutige Sprache.Dann kritisieren sie noch, dass die Deutsche Bahn Sonderzüge für die Nazis zur Verfügung gestellt hat. Der Bahn hätte ich da mehr Sensibilität unterstellt. (Danke, Martin)
Wenn also jemand am Wahltag an der Urne auftaucht, woher weiß man dann, ob der wahlberechtigt ist? Das funktioniert so, dass man sich zur Wahl anmelden muss. Sowas wie ein Bürgeramt, wo man sich für den Personalausweis einträgt, gibt es nicht. Wenn man irgendwo wohnen will, zieht man da halt ein und zahlt Miete. Registrieren ist nicht notwendig.
Daher weiß der Staat nicht automatisch, wer wo wohnt, und es muß einen separaten Mechanismus für Wahlen geben. Das funktioniert so, dass man sich bei der Führerscheinausgabestelle in das Wahlregister für das Bundesland einträgt, also z.B. für Florida, und dann darf man da wählen. Das geht nicht nur beim DMV (Führerschein-Büro), aber da machen es die meisten Leute.
So, dann ist man eingetragen im Register, und kann in dem Bundesland an jeder Urne wählen gehen.
Ich wollte wissen, wie sie verhindern, dass jemand einfach bei mehr als einem Wahlbüro wählen geht. Antwort: indem es eine hohe Gefängnisstrafe darauf gibt, wenn sie dich dabei erwischen.
Die Rahmenbedingungen bei den Wahlen sind: es gibt dieses Wahlregister, aber die Bürger müssen sich nicht ausweisen können. Nicht nur das: gerade die ärmeren Randgruppen wie mexikanische Landarbeiter und Schwarze haben zu einem gewissen Prozentsatz schlicht keinen Führerschein und können sich daher nicht ausweisen. Wenn man wählen darf, darf man im ganzen Bundesland wählen, nicht nur bei einem bestimmten Wahllokal.
Es gibt also einige offensichtliche Angriffe auf das System. Zum Einen könnten sich Leute zur Wahl registrieren, die gar keine Bürger sind. Zum Anderen könnte jemand einfach bei mehr als einem Wahllokal eine Stimme abgeben. Außerdem könnte sich jemand in mehr als einem Bundesland registrieren. Und selbst wenn man erkennt, dass jemand gerade eine Stimme abgeben will, aber unter seinem Namen ist schon eine Stimme abgegeben, woher weiß man dann, welches der echte Wähler ist, wenn es nicht Pflicht ist, sich ausweisen zu können?
Es ist also nicht verwunderlich, dass Republikaner ein leichtes Spiel bei eh schon latent ausländerfeindlichen Amerikanern haben, Angst vor Wahlbetrug zu schüren.
Einer der Mechanismen gegen Wahlbetrug ist, dass man sich beim Wahllokal hinstellen und die Wahlberechtigung von Leuten anzweifeln kann. Die können dann nicht abstimmen, bis geklärt ist, dass sie wahlberechtigt sind. Die Stimmen werden dann nachträglich noch gezählt, so die Theorie, und das ist einer der Gründe, wieso das in den USA immer tagelang dauert, bis es ein Ergebnis gibt nach Wahlen.
Seit einigen Jahren gibt es diverse Initiativen von Republikanern, in diversen Bundesländern mit Wahlbetrug als Begründung diverse Gesetze vorzuschlagen, die z.B. erfordern, dass man sich ausweisen kann, um wählen zu dürfen. Das benachteiligt genau die Ärmsten der Armen, die statistisch zufällig mit überwältigender Mehrheit Demokraten wählen. Das Spielchen gibt es seit Jahren, da klagt dann immer jemand gegen, und dann wird das nichts. Inzwischen hat das aber so zugenommen, dass die US-Regierung die Hände voll hat, die ganzen Vorstöße aus den Ländern zurückzupfeifen. Es gibt keinerlei Beweise dafür, dass tatsächlich bei irgendwelchen Wahlen von den Menschen auf der Straße betrogen wird. Der Wahlbetrug, der tatsächlich stattfindet, wird aber mit den angeblichen Wahlbetrügern begründet, die es gar nicht gibt. Das ist ein ganz gruseliges Spiel. Und Obama ist ja Democrat. Den Democrats ist klar, dass wenn diese ganzen Vorstöße bei den letzten Wahlen am Start gewesen wären, wäre Obama nicht Präsident jetzt.
Holder said that in the past two years the justice department has challenged "two dozen state laws and executive orders from more than a dozen states that could make it significantly harder for many eligible voters to cast ballots in 2012"."Despite our nation's long history of extending voting rights to non-property owners and to women, to people of colour, to Native Americans, and to younger Americans, today a growing number of our fellow citizens are worried about the same disparities, divisions and problems that nearly five decades ago so many fought to address," Holder told a meeting of the Congressional Black Caucus and black church leaders.
Das ist an Gruseligkeit kaum zu toppen finde ich.Update: In Washington State und Oregon gibt es gar keine Wahllokale mehr, nur noch Briefwahl. Doppelte Stimmen erkennen sie daran, dass man seinen Stimmzettel in zwei Umschläge tut. Der innere Umschlag hat deinen Namen und deine Anschrift und du unterschreibst ihn. Vor dem Zählen der Stimmzettel werfen sie dann denn inneren Umschlag weg. Das muss man ihnen aber glauben, prüfen kann man es nicht. Klingt nicht schlecht, aber was passiert denn dann, wenn sie zwei Stimmzettel unter meinem Namen finden. Woher wissen sie, welcher davon der richtige ist? Werten die dann beide nicht oder was?
Es ging um den Personalausweis, und die Fragen zielten darauf ab, dass den ja keiner verwendet, weil der zu unsicher sei, und wie man den sicherer machen könnte. Die Frage ist an sich schon falsch gestellt. Aber seht selbst.
Hier sind die paraphrasierten Fragen und Antworten.
[Der erste Teil beantwortete keine Frage sondern richtet sich an die Einleitung, in der es heißt, ich als Blogger und CCC-Mitglied hätte die hohen Sicherheitsrisiken bemängelt]Kein Mensch interessiert sich für die Sicherheitsrisiken.
Im Gegenteil, gerade WEIL die Leute annehmen, dass die das mit der Sicherheit schon hinkriegen könnten, will das keiner haben. Der Staat hat wieder und wieder gezeigt, dass er jede denkbare Datenbank über uns führen will. Unsere Telefonate will er überwachen, unsere Emails mitlesen, unsere Nummernschilder scannen, unsere Bankdaten mitschneiden, die Datensammelwut der Behörden ist unersättlich. Bei Facebook und co sieht das ähnlich aus. Im Moment könnte man im Zweifelsfall noch sagen: Das war ich nicht, ich wurde gehackt, ein Virus hat meinen Rechner befallen, das war ein Datenbankfehler, das muss ein Algorithmus danebengegriffen haben. Diese Restunsicherheit erlaubt es Menschen, im Internet auch mal verwerfliche Dinge zu tun, Pornographie anzugucken, anonym zu lästern; kurz: Zu leben.
Niemand will sich daher im Internet mit seinem Personalausweis anmelden. Soweit kommt es noch, dass meine Surfgewohnheiten und Online-Einkäufe in irgendwelchen staatlichen Datenbanken landen, und ich die Authentizität auch noch mit meinem Personalausweis bestätigt habe! Und dann bewirbt man sich Jahre später bei er Polizei und wird nicht genommen, weil man sich vor Jahren mal mit dem Personalausweis bei Indymedia angemeldet hat.
Im Moment, wenn Sie sich wo online anmelden, und Ihren Namen eingeben, dann entsteht auf der anderen Seite ein Datensatz. Der ist je nach Füllstand Geld wert. Je zuverlässiger die Daten sind, desto mehr Geld ist der wert. Der Datensatz verdoppelt sich im Wert, wenn Sie den auch noch mit Ihrem Personalausweis bestätigt haben. Wieso würde irgendjemand dann nicht von Ihnen fordern, dass Sie sich mit dem Personalausweis anmelden? Das wäre wie Geld Verschenken! Und damit ist auch klar, dass Ihr gesamtes Surfverhalten nicht nur aufgezeichnet wird (das wird es auch jetzt schon), sondern dass da dann nicht nur dransteht, welcher Haushalt das war, sondern Ihr Name.
[Hat sich in den knapp zwei Jahren seit Einführung etwas getan, ist der Perso jetzt sicherer als vorher?]
Der Ausweis wird auf der einen Seite immer unsicher bleiben, und auf der anderen Seite ist er jetzt schon viel zu sicher. Bisher kann ein Hacker, der auf einem PC einbricht, die Kreditkartendaten stehlen. Das passiert auch alle Nase lang. Das Opfer zeigt den Diebstahl dann an und lässt die Abbuchungen rückgängig machen. Versuchen Sie das mal, wenn ein Hacker in Ihrem Namen mit Ihrem Personalausweis im Internet einen Vertrag unterschreibt!
Daher benutzt so gut wie niemand den Personalausweis online. Und das ist auch gut so.
[Wie könnten solche Verbesserungen aussehen?]
Gar nicht. Die Idee, dass man einen sicheren Ausweis im Internet haben will, ist an sich schon falsch.
[Wie kann man die Online-Funktion sicherer machen und kann sie überhaupt absolut sicher gemacht werden?]
Man kann immer noch mehr Gängeleien einbauen. Fingerabdrücke messen, Stimmmuster erkennen, mit der Kamera den Gang filmen und einen 3d-Kopfabdruck machen. Der Erfolg von allen solchen Maßnahmen ist nur, dass ich als Bürger noch mehr meiner Daten in staatliche Datenbanken wandern sehe, über die ich keinerlei Kontrolle habe. Sicherer wird dadurch gar nichts. Sicher ist lediglich, dass meine Daten irgendwann wegkommen werden.
[Was passiert, wenn eine Identität "gestohlen" wird?]
Das selbe wie im Moment. Nur dass Ihnen dann keiner mehr glauben wird, dass Sie das nicht selber waren. Weil alle technischen Maßnahmen immer nur zu einer Beweislastumkehr zu Lasten der Opfer führen.
[Hinterlässt des Spuren die zurückverfolgt werden können?]
Man kann immer Dinge zurückverfolgen, aber die Spuren könnten genau so von Ihnen gelegt worden sein. Je mehr "Sicherheit" wir uns vom Staat vorschreiben lassen, desto weniger glaubwürdig sind im Zweifelsfall dann solche digitalen Spuren, die uns entlastet hätten. Denn die sind im Gegensatz zu dem Personalausweis nicht digital signiert.
[Wie kann der Nutzer sehen, dass seine Daten gestohlen wurden?]
Fragen Sie sich doch mal selbst, wie viel Sie davon mitgekriegt haben, dass Ihre Bankdaten an die Amerikaner weitergegeben werden. Oder was Facebook alles an Daten über Sie gesammelt hat. Oder Google. Kriegen Sie mit, was die Schufa über Sie an Daten hat? Dort steht Ihnen sogar eine Auskunft zu. Haben Sie das mal gemacht?
So ist das mit Daten. Man kriegt das nicht mit. Der einzige Schutz ist, die Daten gar nicht erst anfallen zu lassen.
Deshalb benutzt auch instinktiv niemand den Personalausweis online. Und das ist auch gut so.
Am späten Nachmittag hat die Polizei die Versammlungen am Hauptbahnhof und in Bockenheim aufgelöst. Nur eine Handvoll Blockupy-Aufkleber auf dem Boden erinnern in der Kaiserstraße noch an die Demo, und sechs Attac-Aktivisten. Eingekreist von Polizisten bekommen sie gerade ihre Personalausweise zurück und dürfen ihre Grundgesetze nicht weiter verteilen.Soweit sind wir inzwischen in diesem Lande.
Wo bleibt eigentlich die Revolution? (Danke, Jürgen)
Doch paradoxerweise händigte er zwei Personalausweise aus: einen österreichischen und einen „Personalausweis des Deutschen Reichs“. Der Mann erklärte den kontrollierenden Beamten, dass der österreichische Ausweis falsch sei und nur der „Reichsausweis“ echt wäre. […] Desweiteren überreichte der Fahrer auch noch einen selbst hergestellten Führerschein des „Deutschen Reichs“.Als die den Fall dann später noch untersucht haben, wurde es noch bunter:
Kaum auf der Dienstelle angelangt, um den vorliegenden Sachverhalt zu klären, meldeten sich nacheinander telefonisch zwei Damen, welche behaupteten, sie seien von der „Staatsanwaltschaft - Deutsches Reich“ sowie der „Generalstaatsanwaltschaft in Berlin“ und seien mit dem polizeilichen Einschreiten gegen die Fahrzeuginsassen nicht einverstanden.Leider verstehen die Behörden an der Stelle keinen Spaß und ermitteln gegen die beiden Anruferinnen jetzt wegen Amtsanmaßung. (Danke, Sandor)
Diese haben den Betriebswirt kurz vor Ende des Kessels untergefasst, ihn sowohl von vorne als auch von hinten über eine Minute per Video „abgefilmt“, oder „videografiert“, wie die Polizei es nannte. Dabei war dem Kläger der Personalausweis vor die Brust gehalten worden, angeblich um ihm eine länger dauernde schriftliche Aufnahme seiner Personalien zu „ersparen“.Außerdem haben sie ihm noch einen Platzverweis erteilt und eine Verhaftung angedroht, wenn er sich nicht innerhalb von 15 Minuten entfernt hat. Das hat der Mann nicht gemacht und stattdessen angefangen, die Bürokratie gegen die Polizei in Stellung zu bringen. Erst hat er erreicht, dass die Daten über ihn gelöscht werden, dass der Datenschutzbeauftragte das prüft und bestätigt, und dass das Verwaltungsgericht Freiburg jetzt alle polizeilichen Maßnahmen gegen ihn für unrechtmäßig erklärt hat. Die Polizei hatte diese peinliche Ohrfeige noch durch ein Schuldeingeständnis zu vermeiden versucht, aber das Gericht hat sie damit nicht durchkommen lassen und das amtlich gemacht jetzt.
Der Kläge wurde übrigens durch die Humanistische Union unterstützt. Gut, dass es die gibt. (Danke, Walter)
Für Martin Schallbruch, IT-Direktor im Bundesministerium ist die Sache eindeutig. Nach seiner Einschätzung kommt der Ausweis gut an und hat sich nach überwundenen Anfangsschwierigkeiten als "universelles Werkzeug für verlässliche Identifikation im Netz bewährt".Was die da wohl auf die Schnittchen fürs Innenministerium drauftun?
Wer sich jetzt fragt, was die da so an Erfolgen vorzubringen haben:
Die mit großem Abstand beliebteste Anwendung des nPA ist der Abruf des Punktekontos beim Verkehrszentralregister in Flensburg.Aus offensichtlichen Gründen sagen sie nicht dazu, wie viele solche Abrufe es dann so gab. Wenn ich tippen sollte, würde ich drei- bis vierstellig tippen. Nee, nicht pro Tag. Insgesamt.
Völlig klar, bei so einem Koks-PR-Free-for-All muss auch Bitkom mit am Start sein, und tatsächlich haben sie einen schönen Schenkelklopfer beizutragen:
Zwar spricht der Bitkom in seiner Bilanz davon, dass der Ausweis eine positive Resonanz erfährt, doch die Zahlen der Bitkom-Umfrage nach einem Jahr nPA sind nicht so positiv: 45 Prozent der Bundesbürger stehen der "wichtigsten Karte" positiv gegenüber, 44 Prozent lehnen sie ab und zehn Prozent wissen nicht, was sie von der Technologie halten sollen.Also wenn DAS keine positive Resonanz ist, dann weiß ich auch nicht!1!! Wie lange sie wohl die Umfrage wiederholen mussten, bis mehr dafür als dagegen waren?
Einen Kracher habe ich noch:
Außerdem arbeite [die DATEV] an einer schlanken Alternative zur AusweisApp, heißt es aus Nürnberg.Wenn sogar der DATEV die AusweissApp zu bloatig ist, … whoa. Mein Popcorn ist alle.
Falls sich noch jemand fragt, mit welchen fiesen Tricks sie die Bürger dazu zwingen sollen, diesen nPA-Müll einzusetzen:
Eine weitere Anwendung ist der Zugriff auf Smart Meter über ein Gateway. Detaildaten über den aktuellen Stromverbrauch werden nur ausgegeben, wenn sich der Stromkunde mit seinem Ausweis identifiziert hat.Das passt ja mal wieder alles wie Arsch auf Eimer.
Aber wartet, das ist ja nur der existierende Ausweis. Das geht ja alles noch viel übler. Guckt euch mal an, was die so für die Zukunft planen:
Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.Geht's noch?!Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten "neuen" Personalausweises die Massenfahndung und -auswertung von DNA-Daten entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche.
Das Bundeskriminalamt bestätigte in Karlsruhe erstaunlich offen, wie wenig die Behörde trotz Personalaufstockung und Gesetzesänderungen gegen einen Tätertyp wie Arid U. ausrichten kann. "Solche Taten sind nicht zu verhindern", sagte der Kriminaldirektor Sven Kurenbach. Wenn sich ein Täter nicht vor einem Angriff in einschlägigen Zirkeln radikalisiere und sich sozusagen allein zu Hause für die Tat über das Internet aufhetze, könne keine Behörde im Vorfeld Verdacht schöpfen.Und deshalb brauchen wir … lückenlose Internet-Überwachung! Hey, ich habe eine Idee. Wieso verteilen wir nicht Identifizierungsgeräte an die Bürger und erzählen ihnen was von der Sicherheit, damit sie sich im Internet damit identifizieren? Wir könnten es ja als Teil des Ausweises machen! Wir nennen es am besten elektronischer Personalausweis. Nein, warte, neuer Personalausweis! Die Bürger haben doch ein Bedürfnis danach, sich ausweisen zu können!
Update: Nicht nur das ehemalige Nachrichtenmagazin aus Hamburg bekleckert sich hier mit … nunja, nicht mit Ruhm jedenfalls *hust*, sondern auch die FAZ hat ein paar sachdienliche Hinweise:
Als Mangel wird in diesem Zusammenhang abermals das Fehlen der Vorratsdatenspeicherung genannt. Vielleicht wäre Arid U. aufgefallen, wenn man die Verbindungsdaten seines Bekannten, des in Afghanistan festgenommenen und inzwischen in Deutschland inhaftierten Rami M., gründlich hätte auswerten können beziehungsweise überhaupt gespeichert hätte.
Mit der Vorratsdatenspeicherung wäre das nicht passiert!1!! Aber wartet, sie haben Schünemann befragt, also kommt auch bestimmt gleich … oh ja, da ist es:
Interessant ist schließlich, dass der Todesschütze sich möglicherweise per Computerspiel („Ego-Shooter“) auf seine Tat vorbereitet hat.
"möglicherweise"? Auf DEM Niveau arbeitet die FAZ? Hatten die nicht mal sowas wie einen Ruf als Presseorgan?! Krass. Was für ein Wurstblatt.
Oh, übrigens, wo wir gerade bei den Briten waren. Die Straßen sind zu, die Bahn fährt nicht, die Flugzeuge sind am Boden, aber das Terrorismus-Bedrohungsniveau ist "Severe". Der Brüller! :-)
Der Sprecher des Bundesinnenministeriums, Philipp Spauschus, bestätigte, dass Personalausweise mit leeren Datenchips hergestellt wurden.Naja, äh, OK, dann holt man sich halt ein Übergangsdokument. Aber geht noch weiter:
Bei einigen Exemplaren funktioniere das Sperrkennwort nicht.Genau so würde eine Hintertür aussehen, wenn man da eine einbauen würde. Ich bin mir sicher, das ist ein bedauerliches Missverständnis, ein Irrtum, ein Unfall!1!!
Update: HAHAHAHA, hier scrollt gerade in einem Chat folgendes an mir vorbei:
der e-perso funktioniert nicht. Das wertet die bundesdruckerei als erfolg. dieser einschätzung schliesse ich mich uneingeschränkt an.
BMI-Referatsleiter Andreas Reisen erklärte, dass die Einführung des neuen Personalausweises erfolgreich verlaufe. Dass exakt am ersten Tag der Einführung eine Sicherheitslücke in der Update-Funktion der AusweisApp bekannt wurde, erklärte Reisen damit, dass dieses Wissen um die Lücke von Kritikern offenbar zurückgehalten wurde: "Das war eine inszenierte Sache."Äh, … zurückgehalten? Wann hätten sie die Lücke denn finden und publizieren sollen, ne Woche vor Release der App?
Mann Mann Mann. Die BESTEN der BESTEN der BESTEN, SIR!
Für die Nutzung der AusweisApp, die Anfang Januar zum Dowload zur Verfügung stehen soll, verteilen zwei Computerzeitschriften "Freikarten" in Form von Kartenlesern und Gutscheinen. Für diesen Service erhalten sie nach Auskunft des Bundesinnenministeriums 792.540,00 Euro. Eine Zeitschrift liefert mit ihrer DVD-Ausgabe 400.000 Basiskartenleser von Reiner SCT an den Kiosk. Dafür bekommt Reiner SCT die 35 Euro, die der Kartenleser kostet, was sich auf 14 Millionen Euro addiert. Weitere 1.864.800,00 Euro erhält die Firma für Service und Support.Und es geht noch weiter mit den Millionen.
Was ich an der Stelle mal hervorheben will: der Heise-Verlag legt keine schrottigen Basisleser bei. Das finde ich angesichts der Zahlen, was man da für Geldberge von der Regierung für diese Propagandamaßnahme kriegt, hoch anständig finde. Denn die Geräte, die da verteilt werden, sind Basisleser, d.h. ohne Keypad, d.h. per Trojaner angreifbar. Da hat sich die c't offensichtlich entschieden, lieber das Geld nicht zu nehmen und den Lesern kein Snake Oil reinzudrücken.
Um einen eventuellen Missbrauch zu vermeiden haben wir aus Sicherheitsgründen eine Zugangssperre für unsere Marktteilnehmer gesetzt. Wir werden sie sobald als möglich wieder aufheben und Sie darüber umgehend informieren.Es geht um eine Viruswarnung vor "Nimkey", der offenbar Banken und das US-Finanzamt angreifen will. Die Mail warnt vor dem Virus und empfiehlt
Wir ersuchen Sie Ihr Anti-Virusprogramm auf aktuellem Stand zu halten und damit Ihren Computer regelmäßig zu überprüfenDasselbe hilflose Händeringen wie beim BSI anlässlich des Personalausweises. Ist ja schon irgendwie traurig, wie hilflos wir alle diesem Virenproblem gegenüberstehen.
Jedenfalls: ist nur eine Mail, behandelt das als Gerücht / Hörensagen.
Update: Hier ist ein offizieller Link!
Aus fundamentalistischen Gründen gibt es das Video nur per video-Tag und nur per Ogg Theora oder WebM. Nein, kein Flash, keine Krücken für IE- und Appleuser. Gewöhnt euch dran. Das kennt ihr ja eh schon, dass auf euren Geräten Dinge dann halt nicht gehen. Oder installiert euch halt Firefox oder Chrome.
Wem die Ironie der Aussage in dem Video nicht klar ist, der sei darauf hingewiesen, dass es in den USA gar keine Vorratsdatenspeicherung gibt. Auch "ab und zu mal einen Fingerabdruck" gibt es da nicht, insbesondere nicht im Personalausweis, denn es gibt überhaupt keinen Personalausweis dort.
Update: Mhh, hier stand ursprünglich auch Opera, aber Opera spielt das bei mir auch nicht ab. Suuuuper technologie. Also lade ich es doch auch nochmal als mp4 hoch. Hey, Opera, da könnt ihr ja mal echt stolz auf euch sein!
Update: Für Leser mit kurzer Aufmerksamkeitsspanne sei auch nochmal hierauf verwiesen.
Er habe kein generelles Verbot der Anonymität gemeintAch soooo, na dann!
sondern nur für Foren mit politischen AbstimmungsmöglichkeitenDANN ist das natürlich was GANZ anderes!1!!
Ihm gehe es um mehr direkte Demokratie beim Deutschen BundestagJa hat der denn das Memo nicht gekriegt?!
Dabei sei der zum 1. November eingeführte neue Personalausweis eine «ideale Möglichkeit, sich im Internet zu identifizieren».Na das war ja klar. Er hat das andere Memo gekriegt, dass man versuchen soll, den neuen Personalausweis weniger stark als Totalschaden und Rohrkrepierer dastehen zu lassen.
Überrascht zeigte sich Fischer von der Menge der Kommentare zu diesem Interview. Neben zustimmenden und kritischen E-Mails habe er auch Häme erfahren. Die Netzgemeinde reagierte mit Ironie und Spott auf die Äußerungen Fischers.NEIN!!! Spott und Häme?! Und solche Leute wollte er eben noch direkt an der Demokratie teilhaben lassen! Oder vielleicht war das ja auch nur ein Vorwand, damit sie sich ausweisen und er sie besser verfolgen lassen kann. Wer weiß.
Und es geht hier nicht um ein Al Kaida Förderkonto, sondern um einmal Miete durchreichen, das wird nicht mal in die Nähe der 10 Kiloeuro kommen, ab derer Überweisungen unter die Meldungspflicht des Geldwäschegesetzes fallen.
Schlimmer noch: wenn sich an der Bürogemeinschaft was ändert, dann müssen wieder alle hin zur Bank und wieder alle unterschreiben. Was für eine unglaubliche Farce dieses ganze Sicherheitstheater doch ist. Und für nichts!
Das war übrigens nicht die Bank, der wir das zu verdanken haben, sondern wir haben vorher recherchiert, das müssen alle Banken so machen. Die Bank muss da sogar zwei Angestellte am Start haben, die beide auf unsere Personalausweise gucken jeweils, damit da nicht ein Angestellter vielleicht nicht ausreichend prüft.
Ich habe spaßeshalber gefragt, ob das weniger nervig wäre mit dem neuen Personalausweis. Nein, wäre es nicht. Da gibt es noch keine Prozesse für, um das über das Internet zu machen.
Tolle Wurst. Was für eine lächerliche Arbeitsbeschaffungsmaßnahme.
"Wenn Sie ein Basis-Kartenlesegerät ohne eigene Tastatur in Verbindung mit der AusweisApp verwenden und sich nicht sicher sind, ob Ihr Computer frei von Schadsoftware ist, nutzen Sie zur Eingabe der PIN die in der AusweisApp integrierte Bildschirmtastatur." Als ob man Mausklicks nicht mit einer Spionagesoftware abfangen kann.Das ist ja schonmal ein echter Schenkelklopfer, aber die haben auch ihre Ops verkackt:
"Wäre das hier eine Bank, dann würde ich sofort die Bank wechseln. Die Dinger sind unglaublich langsam. Heute morgen wurde die Warnung rumgeschickt, nicht alle Geräte auf einmal zu starten. Das würden die Zertifikats-Server bei der Bundesdruckerei nicht verkraften." Am Netzanschluss liegt es nicht, das Rathaus von Westerkappeln hat DSL 6000, ganz anders als wir draußen auf dem Bauernhof mit unserem Bauern-DSL.Das ist ja wie damals im Osten! :-)
"Der neue Personalausweis kommt mit einer Lesegerätetechnik für Onlinegeschäfte auf den Markt, bei der Kriminelle mit der Zunge schnalzen." Er warf der Politik vor, "auf veralteten Elektroschrott zu setzen, um die Anschaffungskosten gering zu halten".Mwahahaha, *strike*
Und nicht nur die, auch die Gewerkschaft der Polizei äußert sich eher zurückhaltend:
"Mein Rat lautet Finger weg vom neuen Ausweis, solange dessen Kinderkrankheiten nicht behoben sind", sagte GdP-Bundesvize Bernhard Witthaut der Zeitung.Sogar der Parlamentarische Geschäftsführer der FDP ist besorgt. Na das läuft doch prima! Ein Rohrkrepierer, wie er im Buche steht. Besser noch: die Linkspartei fordert direkt mal
ein "Moratorium für alle elektronischen Großprojekte, die den Datenschutz verletzen" könnten.
Der Ausweis, der laut de Maizière "keinen Zugewinn für die innere Sicherheit" bietet, sei sehr sicherÖh… ach, nicht? Warum machen wir das dann?
"Er ist keineswegs bisher elektronisch erfolgreich angegriffen worden, das hat der Chaos Computer Club mir selbst gegenüber gesagt."Ich habe da gerade niemanden gefunden, der das gesagt zu haben zugibt, aber hey, die Aussage ist ja auch total sinnlos. Das ist wie wenn man für ein Auto Werbung macht, es sei elektronisch sicher, wenn das Türschloss mit einer Haarnadel geöffnet werden kann.
Aber es geht noch weiter mit den Krachern.
Vom Start weg wird der neue Ausweis von Online-Angeboten begleitet. Eine künftige Anwendung bei den VZ-Netzwerken nannte de Maiziére an erster StelleHAHAHAHA, aus-ge-rech-net vznet haben sie da als Referenzkunde? Damit wir denen mal ihre Datenbanken aufwerten, indem wir den inhalt mit dem Personalausweis bestätigen?!
Dann das hier:
Vielfältige Angebote sollen die Pionierstädte Hagen und Münster bereithalten, dazu sind mit HUK24, LVM und CosmosDirekt gleich drei Versicherungen am Start. "Ab März 2011 können Bürger ihre Steuererklärung mit ELSTER und dem neuen Ausweis online abgeben", erklärte de Maiziére, der auch darauf verwies, dass 300 Unternehmen mit 600 Dienstleistungen ihre Absicht bekundet haben, den elektronischen Personalausweis zu nutzen.300 Unternehmen mit 600 Dienstleistungen! Oh und ELSTER, als ob man da nicht auch bisher online seine Steuererklärung abgeben könnte, ohne neuen Personalausweis.
Für den Bürger bedeute der Ausweis, dass er keine besonderen Sorgfaltspflichten beachten, sondern die übliche Sorgfalt wie beim Umgang mit einer Bankkarte einhalten müsse, verdeutlichte der Bundesinnenminister.Oh, keine besonderen Sorgfaltspflichten. Na das ist ja genau die Botschaft, die man an der Stelle verschicken will. Und dann kommen noch die üblichen Beweislastumkehrmaßnahmen wie der Snakeoil-Hinweis auf Firewall und Virenschutz. Ganz toll, Herr Innenminister.
Oh und was ist gemeint mit "keine besonderen Sorgfaltspflichten"? Das steht am Ende:
Er wies darauf hin, dass der Bürger die Sorgfaltspflicht wie bei einer Bankkarte auch abseits des Online-Verkehrs beachten müsse. Dazu gehört, dass der Ausweis in deutschen Hotels oder Fitness-Studios beziehungsweise bei Besuchen in Firmen nicht deponiert werden darf und dass es wie beim alten Ausweis ein Fotokopierverbot für den Ausweis gibt, das nur in besonders genehmigten Ausnahmefällen wie bei einer Kontoeröffnung aufgehoben ist.Völlig klar, da kann man überhaupt nicht von zusätzlichen Sorgfaltspflichten sprechen, wenn man seinen Perso mit unter die Dusche und ins Schwimmbad nehmen muss, weil man ihn aus Sicherheitsgründen nicht aus der Hand geben darf. Bzw geht das ja auch nicht. davon geht der bestimmt kaputt. Tolle Wurst, Herr De Maiziere!
Update: Ah, das "deponieren" habe ich wohl falsch verstanden. Damit ist gemeint, dass man nicht gezwungen werden darf, den als Pfand zu hinterlegen. In der Umkleide einschließen ist wohl schon OK.
************************************************************Die SCHUFA! Jetzt müsste sich nur noch die GEZ für den neuen Perso aussprechen, und vielleicht noch die Contentmafia, dann haben wir die verhasstesten Unsympathen beieinander.
Der neue Personalausweis kommt!
Nutzer von meineSCHUFA.de unter den Ersten, die profitieren.
************************************************************
"Where is that ugly thing?", fragte der Minister dabeiDaneben eine Merkel mit Gollum-Gesichtsausdruck, oder von mir aus auch irgendein anderer unser ganzen gutaussehenden Poliker ("Politik macht schön").
Ich bin da nicht so drinnen, aber der Absatz in dem Update kommt mir im Moment nicht glaubwürdig vor. Mein Stand ist, dass die "Ende-zu-Ende"-Verschlüsselung eben nicht von Ende zu Ende ist, sondern von (per Trojaner fernsteuerbarem) "Bürgerclient", äh, der "Ausweis-App", und dem Webseiten-Anbieter. Angesichts dessen erscheint mir diese Aussage gerade nicht nachvollziehbar:
Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt.Bei einem einfachen Kartenleser gibt es kurz gesagt keine Möglichkeit, wie der Ausweis irgendwas erzwingen kann. Selbst wenn man den die Daten kryptographisch signieren lässt, dann kann der Trojaner ja immer noch die zu signierenden Daten ändern, bevor sie den Ausweis erreichen. Wenig erbaulich ist auch das Name Dropping, mit dem sie da zu punkten versuchen:
Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.Denn für Integritätssicherung verwendet man eine Hashfunktion. Elliptische Kurven sind ein Public-Key-Verfahren und AES-128 ist ein symmetrischer Blockcipher. Ich vermute daher, dass es sich hier um eine PR-Nebelkerze handelt. Wer sich selbst ein Bild über die Technik machen will, der findet bei den Aufzeichungen vom 26C3 das nötige Bildungsmaterial.
Update: In dem Video erklärt Henryk, dass es tatsächlich ein Protokoll von Dienstanbieter PC/Lesegerät bis Karte gibt, das heißt PACE, aber dafür braucht man ein PACE-fähiges Lesegerät, und die gibt es noch nicht. Bzw. gab es sie noch nicht, als Henryk den Vortrag hielt, zum Jahreswechsel. Er meint, sowas kostet dann so 200 € und er rechnet daher nicht damit, dass das irgendjemand einsetzen wird.
Update: So, Henryk erklärt mir das gerade. PACE ist zwischen Karte und Leser (wenn man einen PACE-fähigen Leser hat), ansonsten zwischen Karte und PC. Nach PACE kommt noch eine Terminal Authentication, bei der sich der Web-Dienst gegenüber der Karte authentisiert, und eine Chip Authentication, bei der sich der Personalausweis gegenüber der Gegenstelle authentisiert, und wenn das durch ist, gibt es in der Tat einen Ende-zu-Ende-Kanal vom Perso bis zum Webanbieter. Da hat das BSI also Recht und ich ziehe mein Gemecker zurück. Hätte ich mich mal vorher informieren sollen :-)
Übrigens, Hashfunktionen sind SHA-1, SHA-224 und SHA-256, je nach Protokoll-Einsatzort.
Keylogger, die laut ARD-Magazin „Plusminus“ geheime Daten abfangen konnten, sind wirkungslos.AU AU AU DAS TUT SO WEH!!
Die Zahlen werden auf der Bildschirmtastatur zufällig angeordnet, die Übertragung erfolgt verschlüsselt, sodass die PIN deutlich besser gegen „Abhören“ geschützt ist.Die Übertragung zwischen Maus und PC erfolgt selbstverständlich nicht verschlüsselt. Wer das nicht glaubt, kann sich das ja mal im Linux-Kernel angucken, da gibt es einen Maustreiber für jeden zum angucken.
Wer nicht sofort versteht, was für eine hanebüchene Irreführung diese Aussage ist, der kann sich ja mal Back Orifice (aus dem letzten Jahrtausend!!) angucken, oder VNC (es gibt in Metasploit eine VNC-Payload). Mann müssen die verzweifelt sein, so eine plumpe Masche überhaupt in Erwägung zu ziehen.
Update: Falls jemand zu faul ist, auf die Links zu klicken: das sind Methoden, um den Bildschirm in einem Trojaner abzufilmen. Da sieht man dann, worauf jemand klickt. Zufällige Anordnung der Knöpfe und verschiebbares Fenster hilft da gar nichts.
m(
Oh und wo wir gerade bei behämmerter Bürokratie sind: das Innenministerium hat sich entschlossen, den "Bürgerclient" umzubenennen. Das sei ja halb Englisch, und das passe nicht zu einem deutschen Leuchtturmprojekt. Also hat man eine Agentur beauftragt. Und der neue Name ist jetzt: … *trommelwirbel* "Ausweis-App". Deutscher geht es ja wohl kaum!1!!
Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.Na dann ist ja alles gut!
Ach wisst ihr was, das ist so großartig, das embedde ich ausnahmsweise mal.
Jaja, ist ja gut, kein Flash im Blog. Dann halt das html5-Video-Tag.
Das ist übrigens ein webm-Video. Ich stelle gerade fest, dass das unter Safari nicht geht. Ich habe also die Wahl zwischen H.264, das in Firefox nicht geht, und webm, das in Safari nicht geht. Tut mir leid, liebe Mac-User, aber da spricht die Statistik gegen euch. Ihr müsst dann halt auf den Youtube-Link klicken, um das Video zu sehen. Oder ihr probiert das hier, vielleicht funktioniert das ja.
Update: Offenbar tut das auch nicht. Na prächtig. Ich hab hier webm in funktionierend in Firefox, aber das ist Firefox 4. In Firefox 3 tut das wohl auch nicht. Boah können die mal alle ausm Knick kommen, so wird das nie was mit dem video-Tag.
Update: Habe das auch noch als mp4 und ogv hochgeladen. Was für eine Scheiße dieses Browser-Zeuch doch immer ist. Furchtbar.
Update: Kai Biermann hat mein Youtube-Video in einen Artikel bei zeit.de eingebettet. Das läuft ja prima! Lasst uns ein schönes Mem daraus machen.
BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.DAS ist ihre Strategie jetzt? "Das ist alles sicher, aber tut die Karte nur in den Leser, wenn ihr wirklich müsst"? Bwahahahaha, was für eine Lachnummer!
Und ihre Verteidigung zu den Geschäften im Internet ist, dass man dafür eine digitale Signatur braucht und sich nicht nur ausweist. Aha. Soso. Hat das mal jemand dem Herrn de Maiziere erklärt? Der hat die Identifikationsfunktion nämlich schon als Funktion fürs sichere Einkaufen im Internet beworben.
So ein Personalausweis hat drei logisch getrennte Bereiche, den hoheitlichen Teil mit den Biometriedaten, den eID-Teil fürs Ausweisen, und als drittes die Signatur. Damit die aber rechtswirksam ist, muss laut Signaturgesetz die PIN am Smartcardreader eingegeben werden, man braucht also einen Reader mit PIN-Eingabefeld, der braucht dann auch eine richtige Stromversorgung und kostet richtig Geld, weil das a) RFID statt Kontakten ist wie bei den verbreiteten Readern mit Pinpad im Moment und b) gibt es solche Reader für den "nPA" (ePA ist nämlich verbrannt, müsst ihr wissen, deshalb nennen die das jetzt "nPA") noch nicht.
Kurz gesagt: ihre Verteidigung ist, dass der eID-Teil eh für den Fuß ist, und man halt den Signaturteil benutzen soll, den es noch nicht gibt (die beiden zertifizierten Leser sind in der Klasse "Basis", d.h. ohne Pinpad und ohne Display, der Rest sind nur Labormuster ohne BSI-Zertifizierung).
Und, um das nochmal ganz deutlich zu sagen: "dann lässt man die Karte halt nicht im Leser" ist unter dem Gesichtspunkt "das sind kontaktlose RFID-Karten" auch noch mal eine besonders … spaßige Aussage.
Angeblich haben sie schon ne Million Reader ohne Pinpad geordert, damit sie überhaupt was zum zeigen haben. Ohne Pinpad heißt natürlich unsicher, und weil wir, um das nicht zu kompliziert zu machen, als Gefahr "Keylogger" benannt haben, haben sie sich als Feigenblatt ein Software-Pinpad auf dem PC gemacht, wo man dann die Tasten mit der Maus klickt und nicht auf der Tastatur eingibt. Weil das natürlich was GANZ ANDERES ist und VÖLLIG UNABGREIFBAR durch Trojaner!1!! Da kriegt man echt abgenutzte Handflächen vom Fazialpalmieren.
An der Stelle sei auch auf die CCC-Presseerklärung zum Thema hingewiesen. Mein Lieblingssatz daraus:
"Was die da rauchen, hätten wir auch gern mal", kommentierte CCC-Sprecher Engling.
Update: Noch ein Detail: mit der eID-PIN kann man die Signatur-PIN setzen, wenn die noch nicht gesetzt wurde, was ja bei praktisch allen Anwendern zumindest initial der Fall sein wird.
Ich erinnere ja bei solchen Gelegenheiten immer gerne daran, dass Fingerabdrücke in Ausweisen eine Erfindung der Nazis sind und wir das nach dem 2. Weltkrieg absichtlich abgeschafft haben, weil es Zeichen eines unmenschlichen Unterdrückungsstaates ist.
Ich befürchte fefe hat Bündnisarbeit nicht verstanden. So retten wir die Netzneutralität sicher nicht. #pronetzJemand von der SPD (!!) will mir was über Bündnisarbeit erzählen! HAHAHAHA! Liebe SPD, ihr habt jahrelang konsequent gegen meine Interessen abgestimmt. Vorratsdatenspeicherung, SWIFT-Abkommen, Internetzensur, Cybercrime-Convention, Hackertoolverbot, BKA-Gesetz, E-Personalausweis. Jede schlechte Idee habt ihr systematisch aufgegriffen, noch schlimmer gemacht, und dann dafür gestimmt. Und jetzt wollt ihr mir erzählen, euch ginge es um die Rettung der Netzneutralität! Dass ich nicht lache.
Nee, Leute, ihr habt Netzpolitik auf Jahrzehnte verkackt. Ihr könnt uns nicht jahrelang ins Gesicht lügen und in den Rücken dolchen und dann erwarten, dass wir euch glauben, dass ihr die Netzneutralität retten wollt.
Ich für meinen Teil glaube auch nicht, dass das taktisch auch nur kurzfristig sinnvoll ist, überhaupt auch nur ein Gespräch mit euch zu führen. Ihr seid das Problem, nicht die Lösung. Ihr müsst völlig in der Bedeutungslosigkeit verschwinden, bevor sich etwas verbessern kann. Glücklicherweise ist der Prozess ja schon relativ weit fortgeschritten und nicht mehr aufzuhalten.
Update: Die Liste erhebt keinen Anspruch auf Vollständigkeit. Da fehlen mindestens noch das Mautdebakel, die Gesundheitskarte, die Hartz-IV-Schnüffelsache und die Wahlcomputer.
Die zentralen Datenbanken National Identy Register und ContactPoint - eine Datenbank, die alle britischen Kinder unter 18 Jahre erfasst - werden abgeschafft.Dass sie keinen Personalausweis kriegen, war ja schon abzusehen, aber auch die nächste Generation des biometrischen Passes wollen sie nicht mehr einführen. Die Vorratsdatenspeicherung soll auch beendet werden. Der Rest ist leider eher typische Wieselphrasen, als "wird überprüft", "soll stärker reguliert werden", "schärfere Auflagen".
Wenn ihr mich fragt, sieht das alles zu gut aus, um wahr zu sein. Ich glaube es erst, wenn ich es sehen kann. Ähnliches Rumgewiesel haben wir ja hier auch von der FDP zu hören bekommen nach der Wahl, und schaut, was davon übrig geblieben ist.
Update: Das war nur die gekürzte Version, ist in Wahrheit noch krasser:
Möglich ist nur eine persönliche Abholung gegen Vorlage des Personalausweises und Angabe von Name, Vorname, Adresse, Geburtsdatum und -ort. Das Gleiche gilt für die zweite Person. Die Daten werden aus Sicherheitsgründen der Bundespolizei übermittelt und dort mit dem Inhalt des Informationssystems der Polizei abgeglichen.
Ich gehe davon aus, dass Constanze das ansprechen wird, die sitzt nämlich auf dem Podium. (Danke, Sascha)
Youngsters between the ages of 16 and 24 are being tempted into the scheme - and therefore onto the National Identity Register - with the prospect of being able to buy "alcohol, computer games and DVDs, going to the cinema or to a club."Not to mention that other tempting offer - being able to travel to Europe.
Not surprisingly, the anti-ID card lobby is up in arms, pointing out that the government appears to be banking on the booze-fuddled, computer game-addled kids not consulting the small print of the ID card legislation.
Oh und sie erwähnen natürlich auch nicht im Kleingedruckten, dass man dann lebenslang verpflichtet ist, seine Daten in der Datenbank up-to-date zu halten.Es ist ja erstaunlich, dass die das überhaupt als opt-in probieren und nicht einfach gesetzlich vorschreiben. Aber dafür gibt es noch zuviel Widerstand in der Bevölkerung, daher diese Methode. (Danke, Marcel)
- Wie können De-Mail und elektronischer Personalausweis als Angebote für besseren Selbstdatenschutz eingesetzt werden?HAHAHAHAHAHAHAHAHAHAA OMG OMG OMG *lufthol*
Da zeigt sich mal wieder, was für ein überflüssiger Aktionismus uns was für eine sinnlose Bürgergängelei dieser ganze Security-Zirkus ist.
Und die Leute vom De-Mail Projekt haben sich bis auf die Knochen blamiert, als sie in ner Präsi von nem jungen Informatiker aus Bochum in technischen Dingen auseinander genommen worden sind. Konnten sich dagegen aber nur mit heisser Luft wehren und dem Standardvorwurf "das ist ja typisch deutsch, Bedenkenträger". Dr. Heike Stach - die Projektleiterin(?) - hatte sogar ihre eigenen Jubelperser zum Klatschen mitgebracht. Was für Luftpumpen!Ich finde das eine tolle Idee. Ich will das auch haben. Am besten gleich randomisieren. Oder gleich alle Daten von dem Ausweis randomisieren.Hammer des Tages war aber ein BND-Futzi, der - vor versammeltem Publikum!! - an das Projekt "elektronischer Personalausweis" ernsthaft die Frage gestellt hat, ob man da auch mehrere IDs darauf speichern könnte…
Update: Es gibt eine gutartige Erklärung für den BND-Typen. Datenschützer hatten Pseudonyme gefordert, wie sie auch im SigG vorgesehen sind. Könnt ihr euch ja selber überlegen, ob der BNDler einfach nur an Datenschutz interessiert gewesen sein wird. Wenn ich an Datenschutz denke, denke ich auch immer zuerst an den BND.
"Der erste Bürger, der am 01.11.2010 einen Ausweis erhält, soll bereits eine ganze Palette an Anwendungen vorfinden." Zweifel der Zuhörer am ehrgeizigen Projekt zerstörte Margraf mit der Bemerkung: "Wir sind das Bundesinnenminsterium, nicht das Bundesgesundheitsministerium."ROTFL! (Danke, Kristian)
Die mangelnde Führungskraft der Bundesregierung in der Krise wird den Extremisten in die Hände spielen. Es könnte sein, dass es nach der Bundestagswahl nicht mehr für eine Große Koalition reicht.HOF-FENT-LICH! Die haben verkackt bis in die Steinzeit.
Update: Oh und noch ein kleiner Lichtblick: Schweizer Nationalrat lehnt Eidgenossentrojaner ab.
Die Schätzungen gehen von 10 bis 15 Millionen Leute, die so ihr Wahlrecht verloren haben, und es erst im Wahllokal merken werden. Bei Briefwahl merkt man nicht mal, dass die Stimme weggeschmissen wird.
Die Krone setzt dem auf, dass die Republikaner gerade auf Fox News (niemand sonst publiziert solche Propaganda) rumheulen, die Demokraten würden Wahlbetrug machen, indem sie lauter Illegale Einwanderer ins Wahlregister packen. Es gibt Studien dazu, Wahlbetrug in dieser Form ist praktisch ausgeschlossen, auf jeden Fall aber statistisch unsignifikant. Aber lest euch das mal selber durch.
Wenig überraschend sind die Leute, die für die beiden Desastergebiete zuständig sind, mit ihren Systemen jeweils zufrieden und halten sie für sicher. Für Folgenabschätzung wie z.B. die Beweislastumkehr sind die nicht zuständig.
Mich sorgt z.B. die Idee, dass auf dem Personalausweis mein privater Schlüssel drauf ist. Wer den hat, kann in meinem Namen Rechtsgeschäfte tätigen. Nicht nur das: er kann meine Anwesenheit an einem bestimmten Ort zu einer bestimmten Zeit "beweisen", indem er dort mit meinem Schlüssel eine Signatur leistet. Ich bin mir sicher, dass wir eines Tages jemanden wegen so einem "Beweis" ins Gefängnis stecken werden, weil er ja bewiesenermaßen am Tatort war. Und weil die Technik ja sicher ist, hat man sofort einen unwiderlegbaren Beweis am Start. Genau wie bei den ec-Karten, wo es ja auch immer hieß, der Kunde muss seine PIN weitergegeben haben, denn das System ist ja sicher.
Update: Die Idee des Tages dazu kommt von einem Forentroll bei Heise, der vorschlägt, die Schlüssel gleich auf der Payback-Karte zu speichern und damit die Signaturen zu machen :-)
Wieso ist das erwähnenswert? Weil der Verkauf der Bundesdruckerei gerade in die heiße Phase geht.
Und da mußten sie es so deichseln, dass die Persos schön teuer werden, aber die SPD mit ihrer Datenschutz-Simulation nicht das Gesicht verliert. (siehe auch das CCC-Expose zur Bundesdruckerei) (Danke, Frank)
Die EU will mit dem neuen Registrierungssystem unter anderem vermeiden, dass Pferde in die menschliche Nahrungskette gelangen, die für Menschen schädliche Tierarzneimittel verabreicht bekommen haben.Ich sehe das ja als Feldversuch für die RFID-Implantat-Personalausweise. (Danke, Erhard)
Aber sie kriegen es trotzdem immer wieder verkauft. Warum eigentlich? Bei dem Artikel hier kann man das ganz gut sehen:
Eine andere Webseite, die etwa hochpreisige Waren verkauft, soll alle Daten wie Name, Anschrift und Personalausweisnummer verlangen können, die der Inhaber dann mit einer PIN quittieren muss. Laut Reisen soll eine eigens eingerichtete Bundesbehörde für die Zulassung dieser ID-Verifikationsdienste zuständig sein und von den Firmen Gebühren für den Abruf des ePersonalausweises kassieren.Abstrahiert mal kurz von der hirnerweichenden inhaltlichen Dämlichkeit und geht mal auf die Meta-Ebene. Hier haben wir die zwei Punkte, mit denen sie immer wieder ihren Mist verargumentiert kriegen:
Der CSU-Innenexperte Hans-Peter Uhl bestätigte dem "Tagesspiegel", die Union wolle die Fingerabdrücke am liebsten bei der ausstellenden Behörde speichern. Angesichts der Haltung der SPD sei die Forderung aber zurückgestellt worden. "Das ist kein Kampfthema zwischen uns."Die TUN nicht mal mehr so, als sei das vom Tisch. Es ist nur zurückgestellt! D.h. das kommt dann halt bei Gelegenheit über den Fischereiausschuss. (Danke, Frank)
Wißt ihr eigentlich, wieso unsere Personalausweise keine Fingerabdrücke haben? Das ergibt sich aus der Geschichte.
Update: Sie haben es natürlich trotzdem angenommen. Nach rationalen Gesichtspunkten wird ja bei uns schon länger nicht mehr entschieden.
Haben Sie Angst vor den sogenannten Trojanern, also vor Spionagesoftware?Na da hat wohl jemand das Microsoft Virus Quiz bestanden!! :-)Nein, ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann. Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken.
Warum wollen Sie Computer unbedingt heimlich überwachen? Genügt es nicht, den Rechner bei einer Hausdurchsuchung zu beschlagnahmen und dann auszuwerten?Und hier ist noch ein Highlight. Angesprochen auf die Privatsphäre und das Verfassungsgericht, sagt er:Nein, es gibt Fälle, da würden die Ermittlungen vorschnell gestört, wenn die Polizei eine Hausdurchsuchung macht. Dann würden Hintermänner und Komplizen gewarnt und könnten ausweichen. Außerdem ist ein Laptop ja auch leicht zu verstecken, vielleicht wird er bei einer Durchsuchung gar nicht gefunden. Ans Internet muss er aber immer wieder.
Ich kenne und respektiere die Rechtsprechung des Bundesverfassungsgerichts zum Schutz der Privatsphäre. Aber wir müssen auch sehen, dass dieser Schutz in der Alltagswirklichkeit praktikabel bleibt. Verbrecher und Terroristen sind klug genug, so etwas auszunutzen. Die tarnen ihre Informationen dann zum Beispiel als Tagebucheintrag. So leicht dürfen wir es denen nicht machen.Die taz wollte dann noch mal kurz prüfen, ob der Mann die Einschläge um sich herum noch spürt:
Gegen die ebenfalls geplante Vorratsspeicherung aller Telefon-, E-Mail- und Internetverbindungsdaten wollen 10.000 Menschen Verfassungsbeschwerde einlegen. Stimmt Sie das nicht nachdenklich?Antwort: nein. Und wenn sie ihn schon mal im Interview haben, können sie ja auch gleich mal fragen, ob er die biometrischen Daten für die neuen tollen Ausweise auch für die Fahndung nutzen will:So etwas regt mich nicht mehr auf.
Derzeit werden biometrische Pässe eingeführt, und biometrische Personalausweise sollen ab 2008 folgen. Dann sind Passbilder und Fingerabdrücke der ganzen Bevölkerung digital erfasst - ein wunderbares Fahndungsinstrument.Tja, Freunde, da geht der Weg hin.Das ist nicht geplant. Die biometrischen Merkmale sollen die Ausweispapiere fälschungssicher machen und sicherstellen, dass Passinhaber und vorlegende Person identisch sind. Mit Fahndung hat das nichts zu tun. Die biometrischen Daten sind ja auch ausschließlich auf dem Chip des Ausweispapiers gespeichert.
Und sie sind bei keiner staatlichen Behörde gespeichert? Weder zentral noch dezentral?
So ist das vorgesehen.
Und wie lange gilt dieses Versprechen?
Der Gesetzgeber behält immer die Möglichkeit, einmal getroffene Entscheidungen später zu revidieren. Da lege ich mich jetzt nicht fest.
Und dann war da noch eine andere Geschichte, die ich hier mal frecherweise weitererzähle, obwohl nicht klar ist, ob ich das weiter erzählen darf… Ihr wißt es nicht von mir, OK? Also, der Foebud-Shop verkauft ja diese großartigen RFID-Schutzhüllen für Personalausweise, um unbefugte RFID-Kommunikation mit dem Ausweis zu verhindert. Und jetzt kriegt Foebud da ernsthaft eine Anfrage. Über 100 Stück. Von der US-Botschaft!! Die haben erst gedacht, da will sie jemand verarschen, und haben da hinterher telefoniert, aber es war wohl wirklich die US-Botschaft. (Oder war das das US-Außenministerium? Ich hoffe, ich gebe das gerade korrekt wieder, es war spät und ich hatte ein paar Gläser Sekt und Wein getrunken…) Ich finde das zu schön, um das nicht weiter zu erzählen :-) Aber, um das mal ganz klar zu sagen: das ist jetzt Desinformation und Lüge und überhaupt frei erfunden, und von mir habt ihr das ja eh nicht gehört. Weitergehen, hier gibt es nichts zu sehen.