Abmahnung wegen Filesharing?


Auch in Deutschland haften Besitzer eines Internetanschlusses nicht zwingend für Urheberrechtsverletzungen. In dem vorliegenden Fall stand eine Frau vor Gericht, der vorgeworfen wurde an mindestens zwei Tagen unter verschiedenen dynamischen IP-Adressen ein Spiel zum Download angeboten zu haben.

Die Frau stritt das ab und verwies auf ihren mittlerweile verstorbenen Ehemann, der den Internetanschluss hauptsächlich benutzt habe. In erster Entscheidung hatte das Landgericht Köln dem klagenden Rechteverwerter Recht gegeben und die Frau zu Schadenersatz und zur Erstattung der Abmahnkosten verurteilt. Die Verurteilte ging in Berufung und das Oberlandesgericht Köln hob das Urteil des Landesgerichtes auf.

Mir gefällt an dem Urteil, dass das Oberlandesgericht endlich mal eine Differenzierung zwischen Anschlussinhaber und Nutzer getroffen hat. Nur weil die Frau den Anschluss bezahlt, heißt das schließlich noch lange nicht, dass sie auch für jede Rechtsverletzung haftbar gemacht werden kann. Der Rechteverwerter musste schließlich beweisen, dass die Ehefrau selbst den Rechtsverstoß begangen hat. Das konnte er nicht und somit war die Frau freizusprechen.

Das Urteil zeigt zudem eine gute Verteidigungsstrategie für Abgemahnte. Hier geht es
um Prüf- und Kontrollpflichten. Diese bestehen nämlich nur gegen die eigenen Kinder. Der Ehegatte muss in seiner Internetnutzung weder geprüft noch kontrolliert werden.

Quellen:
Rechtsanwälte Dr. Wachs
Aktenzeichen: 6 U 239/11 bei Telemedicus

Wie sieht das jetzt in Wohngemeinschaften und bei nicht verheirateten Partnern aus?

Die Argumentation könnte lauten, dass auch hier keine Aufsichts- und Kontrollpflicht besteht. Realistisch betrachtet ist das auch garnicht möglich. In der Praxis wird wohl niemand seinem Lebenspartner dauernd auf die Finger schauen, wenn dieser im Internet surft. In Finnland gab es für einen ähnlichen Fall sogar eine Begründung die auf EU-Recht basierte.

Hier sehe ich allerdings wieder die Möglichkeit für die Befürworter der Vorratsdatenspeicherung, den Besitzern eines Internetanschlusses umfassende Protokollierungspflichten aufzubürden, damit diese sich im Falle eines Falles selbst entlasten können. So eine Art elektronisches „Internetfahrtenbuch“.

Advertisements

SpyEye wird als Online Banking Trojaner bezeichnet, aber ist er das tatsächlich?


Die als Banking-Trojaner bekannte Software gibt Sicherheitsexperten erneut Rätsel auf. Das neueste Feature der Software ist das Einklinken des Trojaners in die Webcam und das Mikrofon des befallenen Gerätes. Sind das tatsächlich Fähigkeiten die ein Online-Bankräuber braucht, oder steckt da mehr hinter als viele meinen?

Der Angriff auf Kontodaten läuft mehrstufig ab.

Zuerst brauchst du Nutzername und Passwort für das Online Banking Konto. Da gibt es sicher diverse Möglichkeiten heranzukommen, aber wenn alles andere schief läuft, könnte man die Kamera nutzen und das Mikrofon. Von einem Forschungsteam wurde vor einiger Zeit eine Software getestet, die anhand der Tippgeräusche auf der Tastatur die geschrieben Buchstaben relativ akurat identifizieren kann. Die Technik ist eher aus der Kryptografie bekannt und wird unter dem Oberbegriff „Side Channel Attack“ mit anderen zusammengefasst.

Die Forschungsergebnisse von damals

Im Jahr 2001 wurde von Forschern der Universität Berkeley die Möglichkeit untersucht, anhand der Klickabstände des Tastaturanschlags einer Person, den eingegebenen Text zu rekonstruieren. Das Forscherteam kam zu dem Schluss, dass bei praktisch jedem Probanden eine Art biometrischer Fingerabdruck erstellt werden konnte. Dieser Biometrische Fingerabdruck wurde anhand des Tippgeräusches und der akustischen Abstände beim Tippen eines Textes auf der Tastatur erstellt (Ein PDF von 2001!)
Darüber hinaus konnte mittels des Tippprofils des Probanden der geschriebene Text anhand der Geräusche rekonstruiert werden.

Asonow und Agrawal haben einen ähnlichen akustischen Ansatz gewählt. Nur wurde hier nicht die Person in den Mittelpunkt der Studie gestellt, sondern das Keyboard selbst. Die beiden Forscher haben mittels akustischer Analyse herausgefunden, dass jede Taste auf einem Keyboard einen einzigartigen Klang hat. Aus einem akustischen Sample konnte so der Text rekursiv wieder hergestellt werden. (Ein PDF von 2004!)

Sind die Forschungsergebnisse heute noch relevant?

Wie gesagt, es gibt einfachere Möglichkeiten an Nutzernamen und Passwörter zu kommen. Das spielt bei den heutigen Angriffstechniken auf Online Banking eine eher untergeordnete Rolle.

Die zweite Variante wäre der Angriff auf das angeblich sichere HBCI Verfahren. Das gilt bislang als nicht geknackt und wird wahrscheinlich eher von Leuten genutzt die viele Kontobewegungen haben. Ich vermute dass HBCI-Geräte eher im Firmenumfeld genutzt werden. Da könnte sich dann der Aufwand eventuell lohnen die gewonnenen Daten manuell auszuwerten.

Was spricht gegen einen Angriff auf HBCI?

Webcams und integrierte Mikrofone finden sich eher in mobilen Geräten als in der Standardausrüstung des Desktop-PC. Das spricht gegen Variante 2, weil die die HBCI-Geräte zu klobig für den normalen „Dienstreisenden“ sind.

Wer kauft die Features von SpyEye?

Am wahrscheinlichsten erscheint mir, dass der neue SpyEye nicht primär für das Abgreifen von Bankdaten entwickelt wurde. Hinter der Entwicklung einer Software steht auch immer ein Kunde, der bestimmte Features braucht. Was kann diese Software?

1. Telefonate überwachen
2. Tastatureingaben visuell und akustisch mitschneiden.
3. Videokonferenzen überwachen.
3. Dokumente kopieren
4. Sensible Daten aufzeichnen, die sonst nur über umständliches Social Engineering in Erfahrung zu bringen sind.

Wenn man alle Fähigkeiten der Software einem Kundenprofil zuordnet, sehe ich vier potentielle Käufer der Software:

1. Staaten die ihre Bürger belauschen wollen.
2. Firmen die bei Ausschreibungen bessere Karten haben wollen.
3. Personen die Betriebsgeheimnisse von Firmen verkaufen.
4. Parteien die im Wahlkampf schmutzige Wäsche ausbreiten.

Der Markt ist vorhanden. Wieviel Geld sich damit verdienen lässt, kann man nur ahnen. Vermutlich mehr, als durch Diebstahl einiger Überweisungen.

SpyEye ist kein Online-Banking Trojaner. SpyEye ist mehr. Das mögliche Missbrauchen von Bankdaten ist nur ein Abfallprodukt einer langen aber professionellen Softwareentwicklung. Mit der Entwicklung des Online-Banking haben Kriminelle einen lukrativen Anreiz bekommen die Trojanersoftware weiter zu entwickeln. Die Branche ist professionell und steckt längst nicht mehr in den Kinderschuhen. Sie ernährt sowohl den Kriminellen der die Software nutzt als auch ganze Scharen von Sicherheitsdienstleistern die sich auf deren Bekämpfung spezialisiert haben.

Die Entwickler von SpyEye haben hier den Prototypen einer Software demonstriert, dessen Fähigkeiten so manchen Diktator und sicher auch einige Innenminister hoch erfreut.

Was ist INDECT?


Die Australier haben ja ziemlich „gute“ Erfahrungen mit iface gemacht. Der europäische Ansatz zur totalen Überwachung lautet INDECT.

INDECT geht ein Stück weiter. Hier geht es nicht nur darum Straßen und Plätze zu überwachen und jederzeit den Aufenthaltsort jedes Bürgers zu ermitteln, sondern auch um Internetüberwachung. Die Infrastruktur ist in Teilen schon vorhanden und muss nur ausgebaut werden. INDECT soll in der Lage sein, abnormales Verhalten aufzuspüren und präventiv Straftaten vorzubeugen. Häh?

Ich formuliere das mal um. In den Augen der Überwacher sind wir alle Raubkopierer und Terroristen. Wir brauchen den Polizeistaat auch um unsere Kinder zu schützen könnte aus es bald wieder aus dem Mund von Ursula Zensursula tönen, oder irgendeiner anderen Marionette die Karriere machen will.

Wenn man INDECT mal weiter spinnt, wird dein Kaufverhalten anhand deiner EC oder Kreditkarteninformationen mit deinen Äußerungen auf Facebook und co verknüpft. Alles was nicht im Internet über dich in Erfahrung gebracht werden kann wird mit den Aufnahmen verknüpft welche die Überwachungskameras über dich liefern. So findet der Überwacher dann auch deinen realen Freundeskreis und kann deine Freunde gleich mal auf Konformität prüfen.

Wenn Du größere Mengen Bargeld abhebst, geht die rote Überwacherlampe an, weil man Bargeldgeschäfte noch nicht überwachen kann. Schaltest du zu allem Übel auch noch dein Handy ab, geht die zweite Überwacherlampe an. Bei drei Lampen rückt wieder die Spezialeinheit aus, weil dein Verhalten zu abnormal ist.

Natürlich weiß längst jeder, auch die die es nicht wissen sollen, dass du am Wochenende zum Ski fahren in die Schweiz fährst. Dummerweise hast du dich entschieden die Autobahnmaut zu sparen und fährst lieber Landstraße. Dass du sparen willst, ehrt dich natürlich, aber eigentlich geht es darum, dass dich die Kameras auf den Autobahnen nicht mehr aufzeichnen können.

Jetzt geht Lampe Nummer drei an. Das wars. Du bist eindeutig ein Raubkopierer.

Wo haften W-LAN Betreiber nicht für Filesharing?


In Finnland. Ein finnisches Gericht hat die Betreiberin eines offenen W-LANs freigesprochen. Die Frau wurde vom Anti-Piracy Centre wegen Filsharing verklagt. Das Anti-Piracy Centre ist eine Vereinigung von Rechteinhabern aus der Unterhaltungsindustrie (in Deutschland würde man sie einfach Content-Mafia nennen).

Ich übersetze die Quelle mal frei und gekürzt:

In der Klage sollte die Frau für einen 12 minütigen Download 6000€ bezahlen. Die Beklagte konnte beweisen, dass Sie am besagten Tag ein Sommertheater in ihrem Haus veranstaltete, bei dem etwa einhundert Gäste geladen waren.

Die Kläger konnten nicht beweisen, dass die Frau als Besitzerin des Anschlusses tatsächlich selbst den Filesharing-Dienst genutzt hat. Das finnische Gericht musste sich deshalb mit der Frage beschäftigen, ob das Betreiben eines ungeschützten W-LANs eine Urheberrechts-Verletzung darstelle.

Außerdem wollte das Anti-Piracy Centre eine einstweilige Verfügung erwirken, die es der Frau auch in Zukunft untersagt ihr W-LAN offen zu betreiben. Das hätte den Klägern für zukünftige Verfahren geholfen auch andere Betreiber offener W-LANs zu verfolgen und ihnen saftige Strafen anzuhängen.

Das Gericht kam nach gründlicher Abwägung der finnischen Rechtsprechung in Verbindung mit den EU-Richtlinien 2000/31/EC, 2001/29/EC und 2004/48/EC zu dem Schluss, dass der Eigentümer eines W-LANs (privater Provider) nicht dafür verantwortlich ist, wenn ein Dritter über seinen Anschluss eine Urheberrechtsverletzung begeht.

Es wäre doch schön, wenn sich das auch endlich mal in der deutschen Rechtsprechung niederschlagen würde. Der Otto-Normal-DSL-Kunde ist doch nicht in der Lage sein WLAN vernünftig zu schützen. Egal ob er jetzt verschlüsselt, oder nicht, gibt es immer wieder Hintertüren die der Laie nicht schließen kann. Ich werfe mal einen Vergleich in den Raum den auch ein Internetausdrucker verstehen kann. Der Otto-Normal-Auto-Fahrer weiß zwar, wie er sich anschnallen muss, aber er ist noch lange nicht in der Lage die korrekte Funktion seines Airbags zu überprüfen.

Android Smartphone wurde mit Backdoor ausgeliefert.


Das Wochenende ist rum und es gibt mal wieder was neues von ZTE. Ist ja nicht so, dass die noch nie aufgefallen wären…

Wie heute bekannt wurde liefert die chinesische ZTE Corporation ihre Smartphones standardmäßig mit einer Backdoor aus. Nach ersten Erkenntnissen betrifft es wohl nur das Modell ZTE Score M, welches in den USA vertrieben wird. Das gefundene Programm in Android 2.3.4 (Gingerbread) heißt sync_agent.

Problematisch an sync_agent ist, dass es nicht mit den Rechten des Nutzers ausgeführt wird, der das Programm aufruft, sondern mit den Rechten des Besitzers der Datei. Der Besitzer der Datei ist root. Jeder potenzielle Schädling kann also mittels sync_agent root-Rechte erlangen. Nun könnte ZTE sagen, „Hoppala, da ist uns ein kleiner Fehler unterlaufen…“ das würde allerdings noch nicht erklären, wieso das Programm einzig und allein dazu da ist, eine root-Shell zu öffnen. Böse, böse, böse!

Quelle: http://pastebin.com/wamYsqTV