Abmahnung wegen Filesharing?


Auch in Deutschland haften Besitzer eines Internetanschlusses nicht zwingend für Urheberrechtsverletzungen. In dem vorliegenden Fall stand eine Frau vor Gericht, der vorgeworfen wurde an mindestens zwei Tagen unter verschiedenen dynamischen IP-Adressen ein Spiel zum Download angeboten zu haben.

Die Frau stritt das ab und verwies auf ihren mittlerweile verstorbenen Ehemann, der den Internetanschluss hauptsächlich benutzt habe. In erster Entscheidung hatte das Landgericht Köln dem klagenden Rechteverwerter Recht gegeben und die Frau zu Schadenersatz und zur Erstattung der Abmahnkosten verurteilt. Die Verurteilte ging in Berufung und das Oberlandesgericht Köln hob das Urteil des Landesgerichtes auf.

Mir gefällt an dem Urteil, dass das Oberlandesgericht endlich mal eine Differenzierung zwischen Anschlussinhaber und Nutzer getroffen hat. Nur weil die Frau den Anschluss bezahlt, heißt das schließlich noch lange nicht, dass sie auch für jede Rechtsverletzung haftbar gemacht werden kann. Der Rechteverwerter musste schließlich beweisen, dass die Ehefrau selbst den Rechtsverstoß begangen hat. Das konnte er nicht und somit war die Frau freizusprechen.

Das Urteil zeigt zudem eine gute Verteidigungsstrategie für Abgemahnte. Hier geht es
um Prüf- und Kontrollpflichten. Diese bestehen nämlich nur gegen die eigenen Kinder. Der Ehegatte muss in seiner Internetnutzung weder geprüft noch kontrolliert werden.

Quellen:
Rechtsanwälte Dr. Wachs
Aktenzeichen: 6 U 239/11 bei Telemedicus

Wie sieht das jetzt in Wohngemeinschaften und bei nicht verheirateten Partnern aus?

Die Argumentation könnte lauten, dass auch hier keine Aufsichts- und Kontrollpflicht besteht. Realistisch betrachtet ist das auch garnicht möglich. In der Praxis wird wohl niemand seinem Lebenspartner dauernd auf die Finger schauen, wenn dieser im Internet surft. In Finnland gab es für einen ähnlichen Fall sogar eine Begründung die auf EU-Recht basierte.

Hier sehe ich allerdings wieder die Möglichkeit für die Befürworter der Vorratsdatenspeicherung, den Besitzern eines Internetanschlusses umfassende Protokollierungspflichten aufzubürden, damit diese sich im Falle eines Falles selbst entlasten können. So eine Art elektronisches „Internetfahrtenbuch“.

SpyEye wird als Online Banking Trojaner bezeichnet, aber ist er das tatsächlich?


Die als Banking-Trojaner bekannte Software gibt Sicherheitsexperten erneut Rätsel auf. Das neueste Feature der Software ist das Einklinken des Trojaners in die Webcam und das Mikrofon des befallenen Gerätes. Sind das tatsächlich Fähigkeiten die ein Online-Bankräuber braucht, oder steckt da mehr hinter als viele meinen?

Der Angriff auf Kontodaten läuft mehrstufig ab.

Zuerst brauchst du Nutzername und Passwort für das Online Banking Konto. Da gibt es sicher diverse Möglichkeiten heranzukommen, aber wenn alles andere schief läuft, könnte man die Kamera nutzen und das Mikrofon. Von einem Forschungsteam wurde vor einiger Zeit eine Software getestet, die anhand der Tippgeräusche auf der Tastatur die geschrieben Buchstaben relativ akurat identifizieren kann. Die Technik ist eher aus der Kryptografie bekannt und wird unter dem Oberbegriff „Side Channel Attack“ mit anderen zusammengefasst.

Die Forschungsergebnisse von damals

Im Jahr 2001 wurde von Forschern der Universität Berkeley die Möglichkeit untersucht, anhand der Klickabstände des Tastaturanschlags einer Person, den eingegebenen Text zu rekonstruieren. Das Forscherteam kam zu dem Schluss, dass bei praktisch jedem Probanden eine Art biometrischer Fingerabdruck erstellt werden konnte. Dieser Biometrische Fingerabdruck wurde anhand des Tippgeräusches und der akustischen Abstände beim Tippen eines Textes auf der Tastatur erstellt (Ein PDF von 2001!)
Darüber hinaus konnte mittels des Tippprofils des Probanden der geschriebene Text anhand der Geräusche rekonstruiert werden.

Asonow und Agrawal haben einen ähnlichen akustischen Ansatz gewählt. Nur wurde hier nicht die Person in den Mittelpunkt der Studie gestellt, sondern das Keyboard selbst. Die beiden Forscher haben mittels akustischer Analyse herausgefunden, dass jede Taste auf einem Keyboard einen einzigartigen Klang hat. Aus einem akustischen Sample konnte so der Text rekursiv wieder hergestellt werden. (Ein PDF von 2004!)

Sind die Forschungsergebnisse heute noch relevant?

Wie gesagt, es gibt einfachere Möglichkeiten an Nutzernamen und Passwörter zu kommen. Das spielt bei den heutigen Angriffstechniken auf Online Banking eine eher untergeordnete Rolle.

Die zweite Variante wäre der Angriff auf das angeblich sichere HBCI Verfahren. Das gilt bislang als nicht geknackt und wird wahrscheinlich eher von Leuten genutzt die viele Kontobewegungen haben. Ich vermute dass HBCI-Geräte eher im Firmenumfeld genutzt werden. Da könnte sich dann der Aufwand eventuell lohnen die gewonnenen Daten manuell auszuwerten.

Was spricht gegen einen Angriff auf HBCI?

Webcams und integrierte Mikrofone finden sich eher in mobilen Geräten als in der Standardausrüstung des Desktop-PC. Das spricht gegen Variante 2, weil die die HBCI-Geräte zu klobig für den normalen „Dienstreisenden“ sind.

Wer kauft die Features von SpyEye?

Am wahrscheinlichsten erscheint mir, dass der neue SpyEye nicht primär für das Abgreifen von Bankdaten entwickelt wurde. Hinter der Entwicklung einer Software steht auch immer ein Kunde, der bestimmte Features braucht. Was kann diese Software?

1. Telefonate überwachen
2. Tastatureingaben visuell und akustisch mitschneiden.
3. Videokonferenzen überwachen.
3. Dokumente kopieren
4. Sensible Daten aufzeichnen, die sonst nur über umständliches Social Engineering in Erfahrung zu bringen sind.

Wenn man alle Fähigkeiten der Software einem Kundenprofil zuordnet, sehe ich vier potentielle Käufer der Software:

1. Staaten die ihre Bürger belauschen wollen.
2. Firmen die bei Ausschreibungen bessere Karten haben wollen.
3. Personen die Betriebsgeheimnisse von Firmen verkaufen.
4. Parteien die im Wahlkampf schmutzige Wäsche ausbreiten.

Der Markt ist vorhanden. Wieviel Geld sich damit verdienen lässt, kann man nur ahnen. Vermutlich mehr, als durch Diebstahl einiger Überweisungen.

SpyEye ist kein Online-Banking Trojaner. SpyEye ist mehr. Das mögliche Missbrauchen von Bankdaten ist nur ein Abfallprodukt einer langen aber professionellen Softwareentwicklung. Mit der Entwicklung des Online-Banking haben Kriminelle einen lukrativen Anreiz bekommen die Trojanersoftware weiter zu entwickeln. Die Branche ist professionell und steckt längst nicht mehr in den Kinderschuhen. Sie ernährt sowohl den Kriminellen der die Software nutzt als auch ganze Scharen von Sicherheitsdienstleistern die sich auf deren Bekämpfung spezialisiert haben.

Die Entwickler von SpyEye haben hier den Prototypen einer Software demonstriert, dessen Fähigkeiten so manchen Diktator und sicher auch einige Innenminister hoch erfreut.

Wo haften W-LAN Betreiber nicht für Filesharing?


In Finnland. Ein finnisches Gericht hat die Betreiberin eines offenen W-LANs freigesprochen. Die Frau wurde vom Anti-Piracy Centre wegen Filsharing verklagt. Das Anti-Piracy Centre ist eine Vereinigung von Rechteinhabern aus der Unterhaltungsindustrie (in Deutschland würde man sie einfach Content-Mafia nennen).

Ich übersetze die Quelle mal frei und gekürzt:

In der Klage sollte die Frau für einen 12 minütigen Download 6000€ bezahlen. Die Beklagte konnte beweisen, dass Sie am besagten Tag ein Sommertheater in ihrem Haus veranstaltete, bei dem etwa einhundert Gäste geladen waren.

Die Kläger konnten nicht beweisen, dass die Frau als Besitzerin des Anschlusses tatsächlich selbst den Filesharing-Dienst genutzt hat. Das finnische Gericht musste sich deshalb mit der Frage beschäftigen, ob das Betreiben eines ungeschützten W-LANs eine Urheberrechts-Verletzung darstelle.

Außerdem wollte das Anti-Piracy Centre eine einstweilige Verfügung erwirken, die es der Frau auch in Zukunft untersagt ihr W-LAN offen zu betreiben. Das hätte den Klägern für zukünftige Verfahren geholfen auch andere Betreiber offener W-LANs zu verfolgen und ihnen saftige Strafen anzuhängen.

Das Gericht kam nach gründlicher Abwägung der finnischen Rechtsprechung in Verbindung mit den EU-Richtlinien 2000/31/EC, 2001/29/EC und 2004/48/EC zu dem Schluss, dass der Eigentümer eines W-LANs (privater Provider) nicht dafür verantwortlich ist, wenn ein Dritter über seinen Anschluss eine Urheberrechtsverletzung begeht.

Es wäre doch schön, wenn sich das auch endlich mal in der deutschen Rechtsprechung niederschlagen würde. Der Otto-Normal-DSL-Kunde ist doch nicht in der Lage sein WLAN vernünftig zu schützen. Egal ob er jetzt verschlüsselt, oder nicht, gibt es immer wieder Hintertüren die der Laie nicht schließen kann. Ich werfe mal einen Vergleich in den Raum den auch ein Internetausdrucker verstehen kann. Der Otto-Normal-Auto-Fahrer weiß zwar, wie er sich anschnallen muss, aber er ist noch lange nicht in der Lage die korrekte Funktion seines Airbags zu überprüfen.

Android Smartphone wurde mit Backdoor ausgeliefert.


Das Wochenende ist rum und es gibt mal wieder was neues von ZTE. Ist ja nicht so, dass die noch nie aufgefallen wären…

Wie heute bekannt wurde liefert die chinesische ZTE Corporation ihre Smartphones standardmäßig mit einer Backdoor aus. Nach ersten Erkenntnissen betrifft es wohl nur das Modell ZTE Score M, welches in den USA vertrieben wird. Das gefundene Programm in Android 2.3.4 (Gingerbread) heißt sync_agent.

Problematisch an sync_agent ist, dass es nicht mit den Rechten des Nutzers ausgeführt wird, der das Programm aufruft, sondern mit den Rechten des Besitzers der Datei. Der Besitzer der Datei ist root. Jeder potenzielle Schädling kann also mittels sync_agent root-Rechte erlangen. Nun könnte ZTE sagen, „Hoppala, da ist uns ein kleiner Fehler unterlaufen…“ das würde allerdings noch nicht erklären, wieso das Programm einzig und allein dazu da ist, eine root-Shell zu öffnen. Böse, böse, böse!

Quelle: http://pastebin.com/wamYsqTV

Welches europäische Land hatte als erstes per Gesetz ein neutrales Netz?


Die Niederlande sind die Vorreiter in Europa wenn es um Netzneutralität geht. Für die Niederländer ist das gut. Ihnen wird per Gesetz zugesichert, dass kein Provider seine Nutzer so ohne weiteres vom Netz nehmen kann.

Den Netzbetreibern ist es verboten worden den Netzverkehr ihrer Nutzer mitzuschneiden, zu blockieren oder auf andere Art und Weise in den Netzverkehr einzugreifen. Das Gesetz regelt die Maßnahmen des Traffic-Managements der Provider. Diese Form des Netzwerkmanagements soll nur dann erlaubt sein, wenn sie im Interesse der Nutzer ist.

Natürlich ist es weiterhin erlaubt säumigen Zahlern den Hahn abzudrehen. Den ganzen Artikel gibt es bei BITS OF FREEDOM.

Alles in allem eine gute Entwicklung für den Bürger, für die Demokratie und gegen die Vorratsdatenspeicherung.

Wie sicher kann man online Banking machen?


Diese Frage kann man leider nicht mit wenigen Worten beantworten. Das kommt nämlich darauf an, wie paranoid Sie sind. Je mehr Ahnung Sie von der Materie bekommen, desto unsicherer wird das ganze auch. Ziemlich paradox, oder?

Ich nenne mal ein Beispiel. Das Secure Socket Layer kennt manch einer als https:// und ein anderer wiederum garnicht. Wenn Sie es kennen, sind Sie sicher der Meinung, dass es sicher ist, wenn Sie es nicht kennen, dann sage ich Ihnen jetzt, dass es eben nicht so sicher ist, wie manche glauben. Die Verschlüsselung an sich ist ok, das ist garnicht das Problem.

Problem Nummer 1: Der Client authentifiziert sich am Server. Der Server authentifiziert sich am nicht am Client. So ist es möglich, dass Sie zwar meinen Sie wären auf Ihrer Bankseite, in Wirklichkeit loggen Sie sich gaber gerade bei einem Fremden ein. Der Fremde kennt nun Ihre Zugangsdaten. Toll, oder?

Problem Nummer 2: Googeln Sie mal nach Diginotar. Egal wie gut die die Verschlüsselung auch sein mag, wenn die CA (Certificate Authority) nicht mehr vertrauenswürdig ist, können Sie nicht genau sagen, wieviele Personen oder Dienste in der Lage sind, diesen verschlüsselten Netzwerkverkehr mitzulesen.

Noch Fragen? Das waren jetzt mal zwei kleine Beispiele im Schnelldurchgang angeschnitten. Es gibt allerdings noch ein paar mehr Themen dazu. Eine Website die das Thema in Gänze aufgreift und Ihnen einige neue Denkanstöße zum Thema Online-Banking und Sicherheit geben kann habe ich gefunden, als ich über das Thema Sicherheit des mTAN Verfahrens recherchiert habe