Von der Impressumspflicht und der neuen Datenschutz-Grundverordnung

Am vergangenem Freitag (25. Mai 2018) ist die neue DSVGO in Kraft getreten. Die bringt kleine Seitenbetreiber ins Schwitzen, obwohl die eigentlich auf große Unternehmen abzielt. Allerdings ist die DGSVO in Teilen so schwammig formuliert, daß sie auch auf den kleinen Webseitenbetreiber anwendbar ist.

Disclaimer

Ich bin kein Jurist und kein Experte in Sachen Recht, daher darf dieser Artikel nicht als Rechtsberatung angesehen werden. Ich habe mich in den letzten Wochen allerdings mit der neuen Datenschutzverordnung auseinander gesetzt, um meinen Blog so gut es geht rechtssicher zu machen. Daher kann dieser Artikel nur als kleiner Leitfaden und Chekliste mit Tips und Tricks, sowie Anregungen zur DSGVO und zum Impressum dienen. Meine Checkliste erhebt auch keinen Anspruch auf Vollständigkeit und Fehlerfreiheit.

Die umstrittene Impressumspflicht

Eine Diskussion in einem IRC-Channel befleißigt mich, dieses Thema anzunehmen. Im Allgemeinen ging es bei dieser Argumentation, wo privat aufhört und kommerziell anfängt, im Zusammenhang mit der Impressumspflicht nach TMG §5 und der neuen Datenschutzgrundverordnung.

Der Paragraph 5 des Telemediengesetzes schreibt Anbietern vor, die ihre Dienste geschäftsmäßig in er Regel entgeltlich anbieten, ein Impressum vor. Das bezieht auch den kleinen Seitenbetreiber mit ein, der auf seiner Seite mit den privaten Kochrezepten ein bisschen Werbung setzt, um die Kosten für seine Domain zu refinanzieren.

Kann aber eine Seite, die öffentlich zugänglich ist als Privat gelten? Daum ging es in der Diskussion vornehmlich. Eine private Seite bedeutet für mich auf einer technischen Ebene, daß nur der Seitenbetreiber und ein paar seiner Bekannten darauf Zugriff haben. Das geht recht einfach via .htaccess, wo der Seitenbetreiber Passwörter einträgt, die er an Freunde und Familie weitergibt. Um eine ungewollte Verbreitung der Passwörter vorzubeugen, kann man hin und wieder ändern und neu vergeben.

Die neue Datenschutzverordnung

Eigentlich sollte das neue Gesetz den Bürger vor großen Internetkonzernen schützen. Laut einiger Recherchen im Netz treibt die Verordnung reichlich kuriose Stilblüten. Anwaltskammern schließen ihren Internetauftritt, Blogs schließen … zumindest temporär. Europäer dürfen keine amerikanischen Medien mehr lesen, Twitter sperrt Konten, vieles gibt es in diesen Tagen zu berichten.

Das neue europäische Recht, soll die Datenverarbeitung transparenter machen, Konzerne wie Facebook, Google und Co nehmen das allerdings zum Anlass, ihre Datenschutzerklärungen zu überarbeiten. Gerade bei sozialen Netzwerken gab es in den letzten Tagen schon fälle, daß Konten gesperrt wurden, weil die neue Datenschutzerklärung nicht aktzeptiert wurde – aus dem einfachen Grund, weil sich amerikanische Konzerne nicht um das neue europäische Recht scheren und ihre Datensammelwut mit einer überarbeiteten und an das neue Getz angepasste Erklärung rechtfertigen.

Kleine Websitebetreiber haben allerdings ein Problem, denn auch auf sie kommen hohe Strafen bei Verstößen zu, ebenfalls auch hohe Kosten, wenn sie ihren Auftritt korrekt rechtssicher gestalten wollen. Aber zur Erleichterung der kleinen Webseitebetreiber wie Blogger – Datenschutzbeauftragte werden nicht benötigt, daß man kein Unternehmen mit mindestens 10 Angestellten führt, was als Kerntätigkeit die Verarbeitung von Daten hat.

Aber dennoch gilt es als erstes die Webseite abzuklopfen und zu schauen wohin überall Daten abfließen. Mit Pi Hole kann man das selbst sehr schön nachvollziehen. Man loggt sich dort einfach ins Dashboard ein und schaut einfach in die Logs, wohin welche Abfragen gehen, wenn man seine Seite öffnet und welche Domains angepingt werden.

Meist findet man dann doch Anfragen neben seiner Domain zu Google Analytics, Google Ads (oder Google allgemein) oder anderen Werbenetzwerken (wenn man denn soetwas eingebunden hat).

Als erste Anlaufstelle für die Umsetzung der eigenen DSGVO Konformen Seite sollte der Provider sein, wenn man sich irgendwo eine Domain und ein bisschen Webspace für den eigenen Blog besorgt hat. Der müsste einen rechtssicheren Vertrag für die Datenverarbeitung anbieten, den man mit dem Provider abschließen muß. Das Selbe muß man mit Google tun, sofern man irgendwelche Trackingdienste für Werbung und Analyse nutzt.

Blogger benutzen gern auch diverse Tools für die Spamabwehr. Akismet ist da führend, überprüft aber jede IP Adresse auf ausländischen Server ob die für Spam bekannt sind. JetPack und Matomo – ehemals Piwik – sind ebenfals sehr mächtige Analystools. Der Unterschied: JetPack sendet auch Daten an fremde Server, Piwik speichert anonymisiert auf dem eigenen Webspace. Matomo ist als Statistictool Google Analytics aus genannten Gründen vorzuziehen. Bleiben beim Ersteren die Satistikdaten anonymisiert auf dem eigenen Webspace, so funkt Google Analytics diese auf Google Server, die mitunter auch im Ausland stehen. Bleibt noch eine Frage offen: Speichert Google diese Daten auch anonymisiert?

Die Originalen Like-Buttons von Facebook, Twitter und co. werden zumeist als iFrame eingebunden. Das sind meist kleine Browserfenster im Browerfenster. Man lädt also einn Teil von einem sozialen Netzwerk, mit einer Seite, auf dem einer der Buttons eingebunden ist. So fließen ungewollt Daten auf andere Server ab.

Für alle Plugins, die auf Fremden Servern Daten auslagern: Man muß im Zweifelsfall einen Vertrag zur Auftragsdatenspeicherung abschließen. Meine Ansicht dazu: Wenn man ohne Trackingtools nicht leben kann, dann sollte die man auf dem eigenen Server bzw. bei seinem Webhoster betreiben, denn mit dem hat man ja bereits einen Vertrag. Like-Buttons sollte man lieber als HTML Version oder 2-Clickmethode einbinden, so wie ich das mit Shariff schon früher beschrieben habe.

Als nächstes ist natürlich eine DSGVO Konforme Datenschutzerklärung notwendig. Hier ändert sich allerdings nicht viel, denn ähnliches war schon im deutschen Datenschutzrecht verankert. Für die Hobbyblogger unter uns gibt es zahlreiche DSGVO Konforme Generatoren für die Datenschutzerklärung im Netz, die man schon für lau nutzen kann. Aber auch da gibt es keine Hundertprozentige Sicherheit für eine Fehlerfreie Erklärung.

Hat man unter der Haube eine Bestandsaufnahme gemacht und eine Datenschutzerklärung fertig, so fällt meistens auf, daß man sowieso nicht alles DSGVO-konform ist. Jetzt geht es daran Plugins, Kontaktformulare und Kommentarspalten abzuklopfen.

Kann man auf diverse Dinge, wie Statistik nicht verzichten, sollte man sich villeicht nach Alternativen zu den Diensten von Google und Co. umsehen. Piwik währe da eine gute Alternative, hier hat man 99protzentig selbst in der Hand was wie gespeichert wird. Akismet ist beispielsweise durch die AntiSpamBee auszutauschen, die setzt auf unsichtbare Formularfelder um Spambots draußen zu halten.

Trackt man irgendwie, so werden Cookies und/oder Zählpixel eingebettet, das heißt, eine Zustimmung für das Setzen von Cookies muß beim Betreten der Seite her. Auch bei der Kommentarfunktion sowie Kontaktformularen werden Daten wie IP Adresse und Mailadresse gespeichert. Bei WordPress kann man Kinderleicht mit WP GDPR Compliance Checkboxen setzen, die die entsprechenden Zustimmungen einholen.

Dann bleiben noch die IP Adresssen, die die Kommentarfunktion speichert. Hier gibt es einen tieferen Eingriff ins Getriebe von WordPress um bereits gespeicherte Adressen zu löschen und einige Scripte, die künftiges Speichern verhindern. Darauf werde ich allerdings in einem kommenden Artikel eingehen, dafür habe ich einen schönen Workflow recherchiert und erarbeitet.

Ja, angebotene Downloads. Hier sind wieder Urheberrechte und Lizenzrechte zu beachten. Aber ich gehe mal davon aus, daß ihr alle, wenn ihr etwas zum Download anbietet, das auch auf legale Weise tut. Vor Jahren habe ich aus Mangel an bezahlbaren Alternativen einige Downloads einfach in die Dropbox geschubst. Synchroordner auf der Festplatte erstellt, Dateien dort reingeschmissen und wusch, verlinkt. Dropbox ist ein US-amerikanisches Unternehmen mit Serverstandorten in den USA und auf der Welt verteilt. Auch wenn da sowieso nur Downloads drin waren, die für die Öffentlichkeit bestimmt sind, so können doch beim Klick auf die entsprechende Verlinkung, Daten zu dieser Firma abfließen. Daten dafür sind nunmal IP-Adressen, damit die Server wissen, wohin sie die Downloads schicken müssen. Also dran denken: Wenn ihr einen deutschen oder europäischen Server für eure Webseite nutzt, dann lagert eure Downloads auch dort.

Bleibt noch die Frage zu den Bildern. Im Prinzip gilt hier immer noch das Urheberrecht. Der Blogger, der ein Bild aufnimmt darf das auch online stellen, sofern eine schöpferische Tiefe erkennbar ist. Stehen allerdings Personen im Vordergrund, auf denen der Hauptaugenmerk liegt, so muß da eine schriftliche Einverständniserklärung vorliegen, denn die haben auch noch Rechte am eigenen Bild, um es mal in juristischer Fachsprache zu versuchen. Fotografiert man allerdings ein öffentliches Panorama, auf dem in einiger Entfernung viele Leute durch das Bild laufen, so kann man das soweit posten. Für Bilder aus der Wikipedia so gilt der Beitrag den ich früher schonmal geschrieben habe. Auch wenn es Creative Commons ist, Quellenangaben und die Lizenz dazu, dabei hilft der dort vorgestellte Lizenzgenerator.

Fazit

Die DSGVO ist ein ganz schönes Bürokratiemonster und setzt dem eh schon straffen deutschen Datenschutz noch einiges drauf. Für kleine Webseitenbetreiber kommt einiges an Arbeit zu, vielleicht auch an Kosten für die rechtskonforme Umsetzung der DSGVO.

Links

  1. Das virgestellte Shariff Plugin
  2. Der Lizenzhinweisgenerator von Wikimedia Commons für sorgenfreie Bilder
  3. Facebook, Datenskandale und Maßnahmen gegen Trcking wie Pihole
  4. FAQ zur Absicherung des Blogs

Neue Konsole unter dem Markennamen Intellivision geplant

Tommy Tallarico Marcin Wichary from San Francisco, U.S.A., Tallarico, CC BY 2.0
Marcin Wichary from San Francisco, U.S.A., Tallarico, CC BY 2.0 Tommy Tallarico auf einem Video Games Live Event 2009

Wer heute um die 50 Jahre alt ist, könnte beim Stichwort Intellivision leuchtende Augen bekommen – weil er sich an lange Nächte mit Klassikern wie Advanced Dungeons and Dragons erinnert, die es für die Spielkonsole Intellivision gab. Jetzt soll eine neue Plattform mit diesem Namen auf den Markt kommen. Bislang gibt es keine Informationen zur technischen Ausstattung. Es ist noch nicht einmal abzusehen, ob das Gerät als High-End oder als Retro positioniert wird, Letzteres erscheint allerdings wesentlich wahrscheinlicher. Details soll es am 1. Oktober 2018 geben.

Hinter dem Projekt steckt der Gamedesigner, Komponist und Musiker Tommy Tallarico, der Chef der neuen Firma Intellivision Entertainment ist. Zu dem Unternehmen gehören weitere Programmierer und Designer, die früher für Intellivision gearbeitet haben. Don Daglow, das heute wegen seiner Auftritte bei Tagungen und Konferenzen wohl noch bekannteste Mitglied des damaligen Teams, ist an dem Neustart nach aktuellem Wissensstand nicht beteiligt.

Die vom Spielzeughersteller Mattel produzierte Intellivision kam 1979 auf den Markt und war anfangs ein großer Erfolg. Das lag unter anderem daran, dass das 16-Bit-Gerät dem wichtigsten Konkurrenten, dem Atari 2600, technisch überlegen war. Nach starken Verkäufen wurde die Lage für Intellivision ab 1982 allerdings rasch wieder schwieriger, vor allem durch eine verfehlte Geschäftspolitik und neue Konkurrenzsysteme wie den Atari 5200 und den Heimcomputer Commodore C64.

Statt in die Plattform zu investieren, reagierte Mattel zum Senken der Kosten mit Entlassungen und dem Streichen von Nachfolgegeräten, um sich wieder auf das klassische Spielzeuggeschäft zu fokussieren. 1984 verkaufte der Konzern die Reste von Intellivision an eine kleine Firma, die vor allem mit der Vermarktung der Restbestände noch etwas Geld verdiente. Nun sind die verbliebenen Markenrechte offenbar bei Tallarico gelandet.

Die Medienspürnase – Änderungen am Theme und unter der Haube

Wie ihr bereits gesehen habt, hat sich optisch einiges getan. Ein neues Theme, aber das ist nur die Spitze des Eisberges. Die Änderungen sind zum größten Teil der neuen Datenschutzverordnung geschuldet. Es musste einiges unter der Haube ausgetauscht werden, was sich auch auf das Theme ausgewirkt hat. Da sind zum einen die neue Datenschutzerklärung und die damit verbundenen Checkboxen. Letztere waren im alten Theme leider nicht mehr ohne weiteres umsetzbar, weil das leider auch schon über 6 Jahre alt war. Schon bei der letzteren Änderung unter der Haube – man erinnere sich an PHP 7.x – musste am Theme aufwendig gefixt werden, um die Stabilität und Erreichbarkeit zu gewährleisten.

Am vergangenem Freitag, dem 25. Mai, ist die neue Datenschutzverordnung ins europäische und nationale Recht eingeflossen. Neben einer angepassten Datenschutzerklärung. Aus bestem Wissen und Gewissen habe ich die auch sogleich umgesetzt. Shariff nutze ich seit je her für die Einbindung von Sozialen Netzwerken. Jetzt findet ihr bei den Kommentaren eine Box zur Einwilligung eure Daten zu senden. Dabei handelt es sich nur um eine Mailadresse und einen von euch gewählten Spiznamen. Die Adresse wird nur gefordert, um die Latte für Spammer höher zu legen.

IP Adressen speichert die Kommentarfunktion seit je her nicht. Wie man das abstellen kann, zeige ich in einem weiteren Artikel zur Serie über die neue Gesetzeslage. Alle anderen Plugins die ich unter der Haube verwende, sind soweit datenschutzkonform und erheben keine weiteren Daten. Dazu gehören beispielsweise TablePress, WP Youtube Lyte, Monalisa für die lustigen Smileys, die hier bei mir auf dem Webspace liegen. MetaSlider für Bilderslideshows versendet auch nichts nach draußen.

WP Youtube Lyte setze ich auch schon seit Anfang meines Blogs ein. Das ist im Prinzip auch nur eine Zwei-Klick-Variante wie bei Shariff für die Like-Buttons. Wordpres Embed legt ein iFrame über die gesamte Seite, die schon beim Öffnen Daten an Youtube und Google sendet. WP Youtube Lyte bindet im Prinzip nur einen Player ein, der ein Vorschaubild vom Youtube-Video zeigt und ansonsten nichts an sensiblen Nutzerdaten zu Youtube überträgt. Erst auf einen Klick auf den Play-Button streamt Youtube das Video auf die Seite.

Schon seit einigen Jahren verwende ich wegen besserer Auffindbarkeit bei bekannten Suchmaschinen SSL Zertifikate. So ein Zertifikat verschlüsselt alle Daten, auf dem Weg vom Nutzer weg und von der Webseite hin zum Nutzer. Gefordert wird auch dies in der neuen Verordnung.

[Update 31. Juni 2018]

Reichlich spät ist mir aufgefallen, daß ich noch einige Downloads zu einigen Programmen in einigen Artikeln, die bereits mehrere Jahre zurückliegen, angeboten habe. Bisher liefen die Downloads über die Tröpfelkiste (deutsch für Dropbox). Das habe ich soeben auch noch geändert und liegen jetzt bei mir auf meinem Miet-Webspace bei Lima-City.

Retrosommer im feuchten Keller: Dragon Cave und der Kampf um Eriador

Wieder einmal schwappt eine Hitzewelle mit staker Trockenheit über das Vogtland. Deshalb hat sich die Medienspürnase wieder in den angenehm kühlen Keller verkrochen, in dem der Amiga 500 und die original von Commodore signierte Fritzbox steht, auf denen zwei Spiele gedaddelt werden.

Dragon Cave…

Dragon Cave Intro - Smaug der Drache
Dragon Cave Intro – Smaug der Drache

… ist ein Puzzelspiel, von der Firma Bernstein Zirkel, welches sich ganz dreist an diversen Vorlagen aus Literatur, Film und Computerspiel bedient.
Die erste abgekupferte Idee offenbart sich ganz augenscheinlich am Anfang des Spiels. Man steht vor dem Tor, welches schon die Pforte zu dem unterirdischen Verlies zu Dungeon Master zierte. Auch nach dem Öffnen der selben, eröffnet sich ein Gang, der aus den typischen grauen Steinblöcken aus Dungeon Master besteht.
Schlieĺich bewegt sich ein Drache in bester Dungeon Master Manier auf den Spieler zu und stellt sich als der berühmte Smaug vor. Ich glaube die Bücher und die Filmvorlage, die dem netten Typen den Namen gegeben haben, brauche ich nicht zu erwähnen. Da ich sowieso gerade schon spoilere, schreibe ich für die Unwissendenden dazu, daß es sich um den Drachen aus „Der Hobbit“ handelt.
Das Spiel an sich ist ein gut gemachter Sokoban Klon aus dem Jahr 1989. Der eingangs erwähnte Drache möchte vom Spieler, daß dieser den Drachenhort aufräumt (und nicht ausräumt). Im Prinzip muß der geneige Spieler in so wenig wie möglich Zügen Kisten im Dungeon-Master-Style durch die Gänge zu einem bestimmten Feld verschieben. Unterstützt wird das bereits mit einer kleinen Auto-Map. Das ist insgesamt ein einfaches Spielprinzip, aber in den höheren Levels wird das Spiel schön fordernd.

Kampf um Eriador…

Spielfeld Kampf um Eriador
Spielfeld Kampf um Eriador

… muß irgendwann um 1988 von einem deutschen Entwickler als Public Domain Spiel erschienen sein. Public Domain ist im Prinzip eine Lizenz unter der Spiele und Software gemeinfrei sind.
Kurz zur Story: Zwei Reiche… eines, welches von einem hellen König und eines vom dunklen König regiert, sind verfeindet und bekriegen sich schon sehr lange. Nun ist die ultimative Endshlacht zwischen den beiden Parteien angebrochen. Von dem Setting her hat man sich wieder aus der Herr-der-Ringe- welt bedient.
Kampf um Eriador ist als Zwei-Spieler Rundentaktik-Spiel einzuordnen, bei dem man zu Zweit vor dem Computer sitzt und abwechselnd seine Spielzüge tut. Das Spielfeld besteht aus 3 mal 3 Kartenteilen die noch einmal in 25 mal 25 Felder mit Wasser, Sumpf, Wald, Berge und Mauern sowie Brücken.
Jeder Spieler kommandiert nun 3 Legionen bestehend aus jeweils 21 Einheiten. Zu den Einheitentypen zählen zum Bleistift Legionäre, Katapulte (die Gebäudestrukturen zerstören können) Adler und Drachen als Luftkampfeinheiten (die Hindernisse wie Berge und Mauern überwinden können) sowie allerlei andere Einheitentypen.
Die Spielmechaniken hier ähneln noch stark an Schach. Jede Einheit hat eine gewisse Anzahl an Bewegungspunkten, sowie Angriffs-, Rüstungs- und Stärkepunke. Bei einem Angriff wird im Hintergrund gewürfelt, wer wieviele Stärkepunkte (heutzutage Hitpoints) verliert und welche Einheit eher stirbt.
Ziel des Spiels ist es im Prinzip den gegnerischen König auszuschalten, oder wenn er noch in seinem Palast ist (und aus dem kann er nicht ohe Hilfe heraus) seine Armee zu vernichten.
Gespielt wird gegeneinander am gleichen Computer über die Tastatur. Mit den Cursortasten wird der Zeiger von Feld zu Feld bewegt, die Entertaste wählt eine Figur aus und wieder ab, löst an einem beiebigen Feld auch den Zug (oder andere Aktion wie Berge einebnen – Magier – Mauern zerstören – Katapult – Bewegung und Angriff) der Figur aus.
Früher habe wir das Spiel gern gespielt. So in der Retrovision dachte ich, das Spiel sei mit Maus (oder Joystick) noch gut zu spielen zu spielen. Allerdings hat es sich auf dem Amiga (und im Emulator unter Retro Pie) nur wie beschrieben mit der Tastatur spielen lassen, was das ganze Spiel anstrengend gemacht hat. Zudem waren einige Tastenkombinationen um einige Aktionen auszulösen nur durch die Ausprobieren auffindbar

Fazit

Das erstere Spiel vereint den Charme eines Klassikers mit den Mechaniken eines bekannten Brettspiels (Sokoban). Wer schon damals Dungeon Master gespielt hat, der wird Dragon Cave mögen. Unten findet ihr ein paar Links zu früheren Dungeon Master Spielen.
Kampf um Eriador ist eher nur für hartgesottene Rundentaktikfans, die auch nicht viel von Eye-Candy halten. Grafikmäßig könnte dieses Spiel auch von einem 8-Bit System stammen. Für dieses Spiel sollte man auch viel Zeit einplanen. Beides läuft auf einem schnöden Amiga 500, letzteres kommt sogar auch ohne Erweiterung auf 1 MB aus.

TV-Tipps für Nerds, Technikbegeisterte und Datenschützer

Heute habe ich mal wieder meine Spürnase in die aktuelle TV Zeitung gesteckt und ein bisschen recherchiert. Ich war recht überrascht, daß in den nächsten Tagen und Wochen auf einigen von unseren GEZ finanzierten Sendern einige Dokumentationen laufen, die aktuelle Themen und Trends rund um Technik und Videospiel aufgreifen. Pünktlivch zum Start der neuen Datenschutzverordnung läuft heute Abend auch ein Dokumentarfilm über  den Datenschutz in der EU.

Mittwoch, der 23. Mai 22 Uhr 40 bis 0 Uhr 20 in der ARD – „Im Rausch der Daten“

Der Film öffnet die Türen zu einer undurchdringlichen Welt und begleitet den politischen Kampf für ein neues Datenschutzgesetz in der EU. Eine fesselnde und hochbrisante Geschichte über eine Handvoll Politiker, Lobbyisten, Diplomaten und Bürgerrechtler, die um den Schutz der Privatsphäre in der digitalen Welt ringen. Der Film gewährt einen einmaligen Blick in den Maschinenraum der EU und damit in die Wirklichkeit der modernen Demokratie.

Preisgekrönter Kinofilm: „Im Rausch der Daten“ ist die TV-Fassung des erfolgreichen Kino-Dokumentarfilms „Democracy – Im Rausch der Daten“, der im Herbst 2015 uraufgeführt wurde und in Deutschland, Luxemburg, Großbritannien, Österreich und Frankreich ins Kino kam. „Democracy“ wurde 2016 für den deutschen Filmpreis „Lola“ nominiert und gewann u.a. den Deutschen Dokumentarfilmpreis 2017. Die Deutsche Film- und Medienbewertungsstelle zeichnete diesen Dokumentarfilm mit dem „Prädikat besonders wertvoll“ aus.

Donnerstag 24. Mai 20 Uhr 50 bis 22 Uhr 20 3Sat – „Scobel – Ethik der Algorithmen“

Morgen Abend geht es bei Herrn Scobel um die Digitalisierung. Mit seinen Gästen spricht er über Computer, Algorithmen und Digitalisierung und philosophiert mit seinen Gästen darüber, wie die unser Leben bestimmen und welche Ethik man auf die digitale Welt anwenden darf.

Samstag 26. Mai 22 Uhr 30 bis 23 Uhr 50 Arte – „Handys – Strahlendes Risiko?“

Rund 7 Milliarden Handys gibt es Weltweit. Diese Doku geht der Frage nach ob die Strahlung (elektromagnetische Felder) der kleinen smarten Helfer vielleicht schädlicher ist als gedacht? Welche Wirkung haben Handys auf die Gesundheit von uns Menschen?

Sonntag 3. Juni 18 Uhr 25 bis 19 Uhr 10 bei Arte „Video Game Musik – Von der Spielkonsole in den Konzertsaal“

Das ist definitiv ein Dokumentarfilm für Spielenerds. Der Film will in ca 50 Minuten herausfinden, warum Musik von Computerspielen in Konzerthallen immer beliebter wird und warum Spielemusik bei Youtubern und im Spiel selbst immer wichtiger wird.

Die Mensch-Maschine – Der TV Tipp für einen langweiligen Donnerstag Abend

Bei vielen Aufgaben unterstützen und ersetzen intelligente Computer-Algorithmen den Menschen bereits heute: sie kontrollieren Flug- und Bahnverkehr, regeln Stromnetze und steuern Industrieroboter, Drohnen und Autos. Auch in der Finanzwelt und Verwaltung finden hochentwickelte Algorithmen immer mehr Anwendung. Doch derartige Systeme bringen Risiken und Gefahren mit sich, die Zweifel aufwerfen. Auch bezüglich der Moral: sind etwa lernfähige Künstliche Intelligenzen überhaupt ethisch korrekt und vertretbar? Diese und weitere interessante Fragen diskutiert das Wissensmagazin scobel – Ethik der Algorithmen, das am Donnerstag, den 24.05.2018 um 21:00 Uhr bei 3sat zu sehen sein wird.

Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

Aquatic-Update wird das letzte für ältere Konsolen

Artwork Aquatic Update Minecraft
Artwork Aquatic Update Minecraft

Besitzer einer Xbox 360 oder der Wii U können mit Minecraft noch im Aquatic-Update in die Tiefsee tauchen. Wer dann Erweiterungen mit neuen Inhalten möchte, muss laut Entwickler Mojang mit einer der neueren Konsolen spielen.

Das zu Microsoft gehörende Entwicklerstudio Mojang will das Aquatic-Update noch für alle Konsolen veröffentlichen, auf denen Minecraft derzeit läuft. Danach soll es größere Erweiterungen aber nur noch für die Fassungen des Klötzchenspiels geben, die auf der neuen Bedrock-Engine und auf Java basieren – also für die Xbox One, die Switch von Nintendo, die Versionen für mobile Plattformen (iOS und Android) sowie für Windows 10. Einzige Ausnahme ist die Playstation 4, die ebenfalls weiter mit Updates versorgt werden soll.

Keine Erweiterungen, sondern wohl nur noch kleinere Fehlerkorrekturen und ähnliches soll es hingegen nach der Veröffentlichung von Aquatic für die Playstation 3, die Xbox 360, die Playstation Vita sowie die Wii U geben. Als Grund für diese Entscheidung nennen die Entwickler in ihrem Blog, dass diese älteren Plattformen nur noch von fünf Prozent der aktiven Spieler verwendet würden, so dass sich der Aufwand nicht mehr lohne.

Angesichts der riesigen Verbreitung von Minecraft dürfte diese Entscheidung allerdings immer noch ein paar Hunderttausend Spieler betreffen, entsprechend groß ist die Empörung in einigen Foren und in sozialen Netzwerken.

Mit der Tiefsee-Erweiterung, die offiziell den Namen The Update Aquatic trägt, soll Minecraft um Fische und Delfine, erkundbare Schiffswracks und andere unterseeische Elemente ausgebaut werden. Auch die Wasserphysik wollen die Entwickler spürbar verbessern, dazu kommt ein Dreizack als neue Waffe. Einen konkreten Termin gibt es nicht, allerdings möchte Mojang das kostenlose Update nach eigenen Angaben noch im zweiten Quartal 2018 veröffentlichen. Zuerst soll das Addon für die Bedrock- und die Java-Fassungen erhältlich sein, wenig später dann auch für die Playstation 4 und die älteren Konsolen.

Facebook und der Datenskandal – Wie schütze ich mich effektiv vor Tracking?

Der Skandal um den Mißbrauch von Facebookprofilen geistert nunmehr schon seit mehreren Wochen durch die Medien. Was das heißt, beschreibe ich in diesem Artikel.

Böses Google - Big Brother is watching you
Böses Google – Big Brother is watching you

Googles Tracking

Es war schon ein Hype, der an der Schwelle des 20. Jahrhunderts mit einer neuen Suchmaschine aus Silikon Valley losgetreten wurde. Auch ein neues soziales Netzwerk, was um 2005 an den Start ging wurde hoch gelobt. Alles war neu… und besser… und schneller.
Die Suchmaschine, Google genannt, lieferte auf Stichworte hin bessere Treffer, war schneller und krempelte den Suchvorgang im Netz um. Es wurden zur Suche nicht nur Schlagworte verwendet, die der Seitenbetreiber angeben konnte. Es wurden sämtliche Verlinkungen auf die Seite relevant, aber auch wie gut andere Seiten besucht sind, die auf die eigene Seite verlinken.

Content – also der Inhalt der eigenen Seite – wurde immer wichtiger und wie oft spezielle Schlüsselwörter (die der geneigte User in die Suchzeile eingibt) im Inhalt vorkommen. Spezielle Wörter – sogenannte Adwords – kann man beim Suchmaschinenbetreiber gegen Bares erwerben.
Für Webmaster und Seitenbetreiber bietet Google auch umfangreiche Analysetools an, die Aufschluss über ds Nutzerverhalten auf der Webseite geben und was den User interesiert, das sogenannte Google Analytics.

Sucheingaben und das, was der Nutzer in der Suche angeht, interessiert Google. Das ganze wird angeblich anonymisiert gespeichert. Hat man bei Google Plus (G+) ein Profil mit Namen, Adresse, Vorlieben und anderen Daten gespeichert, werden Suchanfragen personalisiert, was die Daten für Google noch wertvoller macht.
Dann sind da noch die ganzen Android-Smartphones. Auf denen ist Google omnipräsent, ohne Google läuft da recht wenig. Neben GPS-Trackern (für Navi) befinden sich noch eine ganze Menge andere Sensoren im Handy. Zudem gibt man seinem Smartphone doch eine Menge vertraulicher Daten in den Speicher – Kontaktdaten, Nutzungsdaten auch bei der Navigation. Aber auch andere Apps nehmen sich einige Rechte heraus, die sie eigentlich nicht brauchen. So bekommt Google noch mehr Daten, auch wenn man nicht am heimischen PC sitzt.

Daumen nach unten für Facebook
Daumen nach unten für Facebook

Facebooks Datensammelei

Facebook spielt in einer ähnlichen Liga wie Google. Hier wird man explizit aufgefordert ein Profil anzulegen, um sich mit anderen Leuten, sogenannte Freunde, zu vernetzen. In Profil gibt man schon allerhand von sich preis, neben Name, Anschrift, Interessen und vieles mehr. Auch wenn man spezielle Webseiten „liked“ wie es im Facebookjargon heißt, weiß Facebook, was einem gefällt.

Vom surfen im Internet kennt jeder die kleinen Facebooksymbole – ein Daumen nach oben – mit denen man Webseiten mit einem Klick in seinem Facebook-Profil verlinken kann. Auch ohne ein solches Profil fließen schon Daten über die besuchten Seiten, IP Adresse vom Rechner, aber auch Infos zu installierter Software (Betriebssystem, Browser etc.) zu Facebook ab. Ist man beim sozialen Netzwerk registriert, hat man also ein Profil dort, werden die Surfdaten mit dem Profi verknüpft – auch wenn man sich für den Moment bei Facebook ausgeloggt hat. Ähnlich wie Google sammelt Facebook die Daten – wenn sie durch ein Profil personalisiert sind werden diese um so wertvoller – und verwurstelt diese zu personalisierter Werbung.

Kurz zusammengefasst: Jeder Klick wird gespeichert und wenn das still und heimlich im Hintergrund passiert, nennt man das Tracking. Nutzt man die Services von Facebook, Google und co, so spielt man denen zusätzlich in die Hände. Man kommt aber weder als normaler Nutzer oder als Webseitenbetreiber nicht drum herum, die Services aus Mangel an sinnvollen Alternativen in irgendeiner Form zu nutzen. Man kann ungewollten Datenabfluss aber eindämmen, es gibt dafür mehr oder minder effektive Tools.

Gegenmaßnahmen zur Datensammlung
Gegenmaßnahmen zur Datensammlung

Gegenmaßnahmen

Abwehrmaßnahmen für den Einsteiger

Fangen wir beim Browser auf dem Computer an.
Und zwar hat die Mozilla-Stiftung Ende März ein neues Plugin für den Firefox vorgestellt, was einen Tab mit geöffnetem Facebook in einem Container isolieren soll. Hat man nebenher weitere Internetseiten offen, beispielsweise mit dem angesprochenem Daumensymbol, so werden keine weiteren Daten (wie besuchte Webseite, Software etc.) an Facebook übermittelt. Dieses Plugin gibt es für jede Firefoxvariante. Nutzt man im Browser noch Plugins uBlock und NoScipt, fließen Daten auch nicht zu anderen Werbenetzwerken ab.

Um das besagte Plugin zu installieren einfach im AddOn Manager nach dem Facebook Container von Mozilla suchen. Mittlerweile gibt es einen Fork von diesem AddOn mit dem sprechendem Namen Google Container, der aber von einem anderen Entwickler betreut wird und nicht von Mozilla. Dieses Addon arbeitet im Prinzip genau so wie das Offizielle Anti-Facebook Plugin von Mozilla.

Weiterhin gibt es noch Werbeblocker wie AdBlock oder uBlock für den Firefox zu installieren. Beide Addons sind für sämtliche Firefoxvarianten erhältlich und das kostenlos. Diese Addons blockieren recht zuverlässig Werbung beim Surfen und verhindern somit auch das ungewollte Tracking.
Zudem bieten die hier vorgestellten Softwarelösungen auch einen gewissen Grundschutz vor Schädlingen wie Trojanern und Co, da viele dieser Schadprogramme auch über Werbenetzwerke verteilt werden. Allerdings greifen diese Softwarelösungen nur auf dem Rechner auf dem sie gerade eingesetzt werden. Smart-TV oder Daddelbox werden außen vorgelassen und können unerlaubt Werbung bekommen.

[Update] Die hier vorgestellten AddOns gibt es für Firefox und für Chrome.

Die Profiprivatisierung

Ich nutze für mich und mein Netzwerk allerdings die Profivariante. Auf einem Orange Pi – das ist ein kleiner Einplattinencomputer wie der Raspberry Pi – läuft eine PiHole-Installation.

„Was ist denn nun PiHole schon wieder?“

Das Internet arbeitet mit sogenannten Domains, wie www.medienspürnase.de. Gibt man diese Domain in seinem Browser ein, oder klickt man auf einen Link dazu, so sucht der Browser im Internet auf einem DNS-Server (DNS=Domain Name System) nach einer passenden IP Adresse dazu, zu der er dann die Verbindung aufbaut und sich die entsprechenden Daten abholt.

Allerdings besteht eine Internetseite aus vielen einzelnen Teilen – Texte, Bilder, Videos, Formulare, Facebooks Like-Buttons, Werbung und anderen Sachen. Oftmals sind Dinge wie Videos, Like Buttons und Werbung extern eingebettet. Das heißt, daß ein Video zum Beispiel bei Youtube liegt und mittels speziellem Link ein Player in die Webseite eingebettet wird, der das Video direkt auf der Webseite abspielt. Schon ein Besuch auf einer Seite, die ein solches Video eingebettet hat oder auf der ein Like-Button vorhanden ist, sendet an betreffende Betreiber (Facebook, Youtube…) ungewollt Informationen.

Werbung ist im Prinzip genauso eingebettet – das sind Links, die automatisch Inhalte aus Fremdquellen nachladen. Für jede besuchte Domain – die Medienspürnase, Youtube oder Werbedomains – macht der Browser immer vorher eine DNS Abfrage, nach der IP-Adresse.

Eine IP-Adresse ist im Prinzip mit einer Telefonnumer vergleichbar, die einem bestimmten Festnetzanschluß oder einem Handy zugeordnet ist. So besitzt jeder Computer, jeder Server (und damit jeder Webdienst) und jedes netzwerkfähige Gerät eine eigene IP-Adresse, die nur ihm gehört. Das ist wichtig, damit die einzelnen Geräte untereinander kommunizieren können und Daten austauschen können.

Und genau da greift PiHole ein. PiHole ist im Prinzip nichts anderes als ein DNS-Server, nur mit der Besonderheit, daß der zum Ersten im eigenem Netzwerk steht und zum zweiten mit Blacklisting und Whitelisting funktioniert. PiHole ist mit dem heimischen Internetrouter verbunden. Das darf via Kabel (Ethernet, LAN) oder kabellos (W-LAN) passieren. Jede Anfrage von einem im Netzwerk hängendem Gerät läuft nun über unser PiHole. PiHole ermittelt jetzt nun die IP-Adresse beispielsweise von www.Medienspürnase.de, blättert aber in den angegebenen Listen nach, ob die Domain durchgelassen werden darf oder auch nicht. Das geschieht mit jeder gleichgearteten Anfrage, genauso bei Facebook, Google oder Werbung. Unerwünschtes wird blockiert und erwünschte Inhalte dürfen passieren.

PiHole ist zudem recht flexibel zu konfigurieren, so daß der Schutz von Paranoia (alles wird blockiert und muß manuell freigeschaltet werden) bis leicht (nur einige Sachen werden blockiert) eingestellt werden kann. Das will heißen, der geneigte Nutzer kann blockieren was er will, oder über die Whitelists alles, was er braucht wieder freischalten.

Ich schrieb ja, daß PiHole die Blockierlisten namhafter Adblock-Plugins von Browsern nutzt. PiHole wendet diese Blockierlisten auf alle Geräte, die ihren Traffic ins Internet haben, an. Zudem ist es eine zentralisierte Lösung, die leicht zu warten ist und auch keine hohen Hardwareanforderungen stellt. Es reicht schon wenn die auf einem Einplatinenrechner mit 10 Watt Stromverbrauch läuft.

[Update] In Deutschland und der EU sind die Datenschutzanforderungen sehr hoch angesiedelt, leider sind Kontrollen durch betreffende Behörden rar. Dafür allerdings gibt es eine reihe Anwälte, die sich selbst mit Abmahnungen bereichern, werden irgendwelche (vermeintliche) Verstöße aufgedeckt oder angezeigt. Die meisten größeren Webseiten und Portale in Deutschland wissen selbst um die Gefahr durch dubiose Anwälte oder den Staat abgestraft zu werden.

Deshalb setzen immer mehr Webseitenbetreiber auf Datenschutzkonforme Lösungen, beispielsweise bei den Like-Buttons von Facebook und co. Ich schrieb bereits vor geraumer Zeit darüber, daß es sogenannte Zwei-Klick Lösungen für alle erdenklichen Webseiten gibt. Diese Buttons haben den Vorteil, daß man die Like-Funktion mit dem ersten Klick aktiviert und beim zweiten Klick den Link sendet.

Think Social – Medienspürnase goes to Facebook, Twitter and Google+

Mittlerweile bin ich schon seit geraumer Zeit noch einen Schritt weiter gegangen. Der Heise Verlag bietet für WordPress und andere Contant Managementsysteme ein Plugin namens Shariff an. Das platziert die Like-Buttons als simplen HTML-Link, der mit stinknormalem CSS gestaltet wurde unter die Artikel. Reines HTML und CSS sendet von sich aus nichts, nur nach einem Klick auf den Button öffnet sich ein Anmeldefenster für das besuchte soziale Netzwerk zum teilen.

Die Medienspürnase wandelt sich

Fazit

Der Aufwand um die eigenen Daten besser zu Schützen bleibt auf einem erfreulich niedrigem Niveau, gerade bei den Addons für die gängigsten Browser. Hier punkten Firefox und Chrome gegenüber Internetexplorer und Edge. Die Addons für die Browser aktualisieren sich in gewissen Abständen automatisch und ohne den Nutzer zu belästigen.
Bei PiHole dauert das Aufsetzen schon ein wenig länger. Man benötigt eine gewisse Hardware und man ist da schon mit 40 bis 50 Euro plus Stromkosten dabei. Die Einarbeitung und Konfiguration dauert hier natürlich, wenn es aber läuft bietet es einen zuverlässigen Schutz. Wenn es optimal konfiguriert ist, zieht es sogar Updates von selbest. Der Aufwand wird der Laufzeit geringer. Anfangs ist das System auf sein Surfverhalten zu trainieren, denn einige Seiten, die man gern besuchen würde, landen vielleicht schon in der Blackliste, von der man sie in die eigene Whiteliste herausholen muß.
Beide Maßnahmen zu kombinieren ist recht Sinnvoll. Nutzt man PiHole, so können die Ad-Blocker und Container Plugins noch störende Platzhalter beim Browser entfernen. Vielleicht arbeiten dann bei euch die Sachen so miteinander, daß diese sich ergänzen?

Links

  1. Pi Hol – offizielle Seite
  2. Facebook Container für Firefox
  3. Google Container für Firefox