Die Zukunft vorauszusagen, war schon immer ein Traum vieler Menschen. So wurden schon die verschiedensten Verfahren entwickelt, um mit Hilfe meist statistischer Methoden aus den Daten der Vergangenheit die nahe Zukunft extrapolieren zu können. Auch aus Befragungen werden Rückschlüsse auf Trends und Prognosen abgeleitet. Vor allem die Befragung von “Experten” ist eine bei Meinungs- und Trendforschern besonders beliebte Methode. Durch den Handel mit solchen Prognosen erhofft man sich besonders viel Erfolg. Im “Prediction Market” für IT-Sicherheitsprobleme sollen Anteile an Einschätzung der Bedrohungslage im Internet wie Optionen an der Börse gehandelt werden. Aus dem Handel mit diesen Risikozertifikaten resultiert dann ein Kurs und dieser soll ein Indiz für die Wahrscheinlichkeit sein, dass die Prognose richtig ist. Voraussetzung ist, dass es sich um Hypothesen mit potenziell strafrechtlich relevanten Konsequenzen handelt. Angeblich soll die Treffsicherheit von solchen Prognosebörsen bestechend sein.

Doch was so verrückt klingt, ist es auch. Für mich sieht das sehr nach Wahrsagerei und einem Wettgeschäft mit (selbsterfüllenden) Prophezeiungen aus. Wenn sich dann auch noch die Übeltäter selber unter die Prognose-Börsianer mischen und den Handel mit ihrem Insiderwissen manipulieren, ist das Chaos perfekt. Schliesslich gibt es wahrscheinlich kaum Experten mit mehr Erfahrung als die Urheber von Sicherheitsbedrohungen selbst. Eine solch unausgereifte Prognoselösung kann nur aus Absurdistan stammen. Ein bisschen erinnert mich das Ganze an den realen Börsenhandel und die Rating-Agenturen, die mit ihren Einschätzungen, Bewertungen und Prognosen den Markt in nicht selten höchst krimineller Art und Weise manipulieren.

Datenschutz existiert de facto nur auf dem Papier. Die Praxis hingegen sieht sehr übel aus. Was technisch möglich ist und jemandem einen Nutzen verspricht, das wird auch gemacht – ganz ungeachtet irgendwelcher Gesetze, denn technische Mängel lassen sich nicht durch Gesetzesparagraphen schliessen. Wo neben begehrenswerten Daten auch eine Internetverbindung vorhanden ist, werden auch Apps, Plugins und Addons entwickelt, mit denen diese Daten abgesaugt werden. Das Ganze verpackt man in lustige Spiele und nützliche Anwendungen oder sogar in angebliche Sicherheitserweiterungen. Während diese ihren Dienst tun, sammeln sie nebenbei im Hintergrund unbemerkt Daten und schicken sie an ihren Heim-Server. Wie bei Apples iTunes wird der Benutzer bei der Installation manchmal sogar in unverschämter Weise dazu genötigt, solchem Treiben in den allgemeinen Lizenz- und Nutzungsbestimmungen zuzustimmen. Nur ganz wenige machen sich die Mühe, die meist unendlich langen, kompliziert formulierten und bewusst schlecht lesbar angezeigten Texte zu lesen, und noch weniger verstehen diese auch wirklich. Privatsphäre ist zur Handelsware geworden und Betroffenen haben meist keine Ahnung davon.

Dass naive Mitmenschen in sozialen Netzwerken ihre Privatsphäre öffentlich zugänglich machen, weil sie zum Exhibitionismus verleitet werden, zeugt zwar nicht unbedingt von deren Intelligenz, erfolgt aber mehr oder weniger aktiv und ist für die Betroffenen selber nachvollziehbar. Ganz anders hingegen ist das heimliche Ausspionieren der Privatsphäre durch Software oder die unautorisierte Weitergabe solcher Daten an Dritte zu bewerten. Hier haben die Betroffenen kaum eine bis gar keine Möglichkeit, von Rechtsverletzungen Kenntnis zu nehmen oder sie zu unterbinden.

Ignoranz auch unter Profis

Schon seit längerem diskutiere ich auch mit Informatiker-Kollegen die Risiken der unkontrollierbaren Apps auf Smartphones mit Internetverbindung und stosse immer wieder auf eine wahrlich erschreckende Ignoranz. Manchmal stehen mir echt die Haare zu Berge. Vieles wird lediglich als hypothetische Bedrohung oder potenzielles Risiko eingestuft und nicht ernst genommen. Dabei kann man kaum noch von ”Risiken” sprechen, denn diese sind bereits Realität. Anhand von ein paar ausgewählten Szenarien werde ich im Folgenden die bestehenden Sicherheits- und Datenschutzprobleme erläutern.

Phishing via Browser-Erweiterung

Der sicherheitsbedürftige Benutzer lädt sich eine Erweiterung zur Kontrolle von JavaScript, Flash-Inhalten oder Cookies herunter. Sobald er beim Online Shopping seine Kreditkartendaten eingibt oder sich beim E-Banking einloggt, werden diese Daten dem Urheber der installierten Erweiterung mitgeteilt. Falls diese Daten vom Spion nicht direkt genutzt werden können, weil zum Beispiel für den Abschluss einer Transaktion zusätzlich eine (“zufällig” generierte) TAN nötig ist, bleibt noch die Möglichkeit einer “man in the middle” Attacke, was die Latte zwar etwas höher setzt, für versierte Cyberkriminelle aber kaum ein ernsthaftes Hindernis darstellt. Dagegen hilft auch eine verschlüsselte Verbindung nichts, denn der Spion sitzt bereits auf dem eigenen Rechner und erlauscht die Daten, noch bevor sie verschlüsselt werden. Bis der Benutzer den “Datenklau” bemerkt, hat der Betrüger und Dieb dessen Konto bereits leer geräumt, das Geld über mehrere Konten, Länder und Plattformen elektronisch verschoben und dadurch die Verfolgung des Geldflusses praktisch unmöglich gemacht.

Genau so können auch alle im Browser gespeicherten Zugangsdaten (Benutzername und Passwort) zu Websites und Intranetzugängen ausspioniert werden. Im besten Fall hat man kurz darauf in einer virtuellen Online-Spielwelt all sein Spielgeld verzockt und ist auf die hintersten Ränge zurückgerutscht. Etwas blöder ist es, wenn der Spion Zugang zum Webserver erhält und den Webauftritt eines Unternehmens mit imageschädigenden und rechtswidrigen Inhalten verschandelt. Im schlimmeren Fall hat der Betrüger die Zugangsdaten zum Firmenrechner und kann die Geschäftsgeheimnisse, Patienten- und Kundendaten an den Meistbietenden verhökern. Ganz kritisch wird es, wenn es sich um den Zugang zu nicht ausreichend gesicherten Kraftwerken, Verkehrsleitzentralen, Kläranlagen oder Chemiewerken handelt.

Addons für die Marktdatenerhebung

Die Software-Erweiterung registriert alle aufgerufenen Websites, die Verweildauer auf diesen sowie die Sicherheitseinstellungen, mit denen die Websites besucht wurden. Die Erweiterung für den Email-Client protokolliert den gesamten Email-Verkehr und verschickt eine Kopie des gesamten Adressbuches. Der Datensammler kann aus diesen Daten ein sehr genaues und detailliertes Persönlichkeitsprofil des Nutzers erstellen. Er weiss, für welche Themen sich dieser interessiert, woher er seine Informationen bezieht, wem beziehungsweise welchen Websites er vertraut, wo er seine Online-Einkäufe tätigt und allenfalls sogar, mit welchen Leuten er in welcher Verbindung steht. Je genauer und detaillierter das aus diesen Daten gewonnene Persönlichkeitsprofil ist, desto höher ist dessen Marktwert. Da sowohl die Erhebung als auch die Auswertung der Daten vollautomatisch erfolgt, skalieren solche Aktionen sehr gut und generieren mit einem verhältnismässig geringen Aufwand sehr viel Daten und Geld. Das wohl meistverbreitete und prominenteste Beispiel für einen solchen Spion ist die Google Toolbar, die sich immer noch grosser Beliebtheit erfreut.

Jemand weiss, wo du gerade bist und was du tust und suchst

Nach dem nächstgelegenen Bancomat oder Restaurant über ein iPhone App zu suchen und Fahrpläne und Telefonnummern abzufragen, mag komfortabel sein, denn mit den übermittelten GPS-Informationen wird der aktuelle Standort des Benutzers bei der elektronischen Anfrage gleich mitgeliefert. Doch gerade das führt dazu, dass das Smartphone des Benutzers zum Echtzeit-Bewegungs-, Aktivitäts-, Such- und Absichtsmelders und der Benutzer gläsern wird. So lassen sich sehr aktuelle und situativ kurzfristig angepasste Persönlichkeits- und Nutzerprofile erstellen. Solche Informationen sind für Werbetreibende, Erpresser und Einbrecher gleichermassen interessant und nützlich. Wer glaubt, nur exhibitionistisch veranlagte Naivlinge würden ihren aktuellen Status im Minutentakt in die grosse, weite Welt hinaus twittern, sollte vielleicht sein Smartphone etwas genauer unter die Lupe nehmen.

Online-Überwachung leicht gemacht

Wie bei der Verhaltensanalyse zur Erstellung eines Konsumenten- beziehungsweise Persönlichkeitsprofils kann mit der Übermittlung der Benutzeraktivitäten in Echtzeit eine Personenüberwachung realisiert werden. Der Überwacher sieht alles, wie wenn er dem Überwachten über die Schulter schauen und dessen Bildschirm und Tastatureingaben beobachten würde. Zusätzlich liegen diese Informationen auch noch in digitaler Form vor und können für spätere Verwendungen gespeichert werden.

Wie bringt man die Spione unters Volk?

Nicht alle Softwareerweiterungen bergen von Anfang an Spionage- oder Schadsoftware. Manche leisten zuerst wirklich nützliche und unterhaltsame Dienste und warten ab, bis sie einen grossen Nutzerkreis erreicht haben, bevor sie bei einem Update zum Bösewicht mutieren. Haben sie sich erst einmal auf einem Gerät eingenistet, laden sie weitere Schadsoftware nach, sofern es das Gerät erlaubt, was meist der Fall ist. Braucht es zur Installation die Einwilligung des Benutzers, wird diesem ein zumindest für die meisten Laien plausibler Grund vorgegaukelt. Da viele Benutzer von der ständig steigenden Anzahl von Hinweisen und Warnmeldungen eh schon genervt sind und die Schnauze voll haben, werden sie der Installation meist zustimmen, ohne den Text vorher gelesen zu haben. Für die Spione und Schädlinge heisst es dann: “Freie Bahn mit Marzipan!”.

Auch Netzwerkgeräte telefonieren nach Hause

Wer nun denkt, das sei schon alles gewesen, sollte einmal seine übrigen im Computer-Netzwerk angeschlossenen Geräte etwas genauer unter die Lupe nehmen. Wer einen Netzwerkdrucker angeschlossen hat, kann (entsprechende Software und Kenntnisse vorausgesetzt) beobachten, dass diese Geräte oft keine stummen Diener sind. Regelmässig nehmen sie Kontakt mit einem Server ihrer Hersteller auf, um diesem Daten  über die Nutzung des Gerätes zu übermitteln. Was sollte einen Multifunktions-Scanner daran hindern, Kopien an eine Adresse ausserhalb des lokalen Netzwerks zu verschicken?

Während man Geräten innerhalb eines lokalen Netzwerks – entsprechende technische Kenntnisse vorausgesetzt – via Firewall einen Maulkorb verpassen kann, lassen sich die Geräte am äussersten Rand des Netzwerks von innerhalb des Netzwerks überhaupt nicht kontrollieren. Wer weiss schon, welche Daten sein ADSL-Modem verschickt? Wieso sollte ein solches Ding nicht ein Duplikat eines Datenpaketes an eine Sicherheitsbehörde verschicken, wenn es terrorismusnahe Begriffe im Datenstrom findet? Na, werden wir endlich langsam paranoid?

Wie schütze ich mich?

Auf diese Frage gibt es leider keine befriedigende Antwort. Wie schon oben erwähnt sind die Sicherheitslücken systembedingt. Wollte man sich vor Spionage, Überwachung und Betrug effektiv schützen, müsste man auf all die Annehmlichkeiten der kleinen Helfer gänzlich verzichten. So bleibt einem nur, nicht jeden Mist herunterzuladen und zu installieren und zu hoffen, dass einem die Helferchen und deren Entwickler wohlgesinnt sind. Andernfalls hilft nur Abstinenz, was für manch einen ein Problem darstellt. Sind wir wirklich schon so süchtig nach und abhängig von den Errungenschaften der Technik?

RFID-Chips finden heute auch in Bereichen Anwendung, wo sie aufgrund ihrer technologiebedingten Sicherheitsmängel grundsätzlich nichts verloren haben: Kennzeichnung von Haustieren, Eintritts- und Saisonkarten für Hallenbäder und Skilifte, Bahnkarten und Flugtickets, elektronische Personenausweise (Reisepässe, Identitätskarten, Mitarbeiterausweise), Kreditkarten, Medikamentenverpackungen, Patientenkarten und elektronische Schlösser aller Art (Haus, Auto, Hotelzimmer). Ein RFID-Chip macht jedes Objekt jederzeit und mit der entsprechenden Ausrüstung auch aus einer Distanz von bis zu 500 Meter identifizierbar und damit überwachbar, was Datenschützer Sturm laufen lässt. Die kleinen Spione sind immer dabei und das freut nicht nur die Polizei sondern auch Marktdatensammler und Terroristen.

RFID lässt sich mit den aktuellen technischen Möglichkeiten auch unter Einsatz von Datenverschlüsselung nicht wirklich sicher machen, denn diese hat verschiedene Lücken, die von einem Fachkundigen mit minimalster Ausrüstung (Notebook und RFID-Leser – siehe auch Beitrag von Boing Boing TV) und relativ geringem Aufwand ausgenützt werden können, ohne dass dieser dabei irgendwelche Spuren hinterlässt. Die technischen Mängel und deren Risiken sowie die sozialen Auswirkungen habe ich bereits vor einiger Zeit im Zusammenhang mit der Abstimmung über die Einführung biometrischer Reisepässe in der Schweiz 2009 ausführlich beschrieben.

Adam Savage wollte mit seinen Kollegen von den MythBusters bei Discovery den Mythos von der Sicherheit der RFID-Technologie vor einem breiten Publikum endgültig entweihen. Warum das aber nie geschehen wird, erzählte Adam an der Hacker-Konferenz “The Last H.O.P.E.” (Hackers On Planet Earth) im Juli 2008 im Hotel Pennsylvania in New York City. Als sie während den Vorbereitungen technische Details in einer Telefonkonferenz mit Texas Instruments (einer der Hersteller von RFID-Chips) besprechen wollten, tauchten am anderen Ende der Leitung plötzlich die Chefjuristen der Kreditkartenfirmen American Express, Visa, Discover und andere auf und machten bei Discovery Druck, die geplante Folge nicht zu senden. Da der Sender von Werbeeinnahmen lebt, gab er schliesslich klein bei.

Ausschnitt aus “Hope2601 – Adam Savage – Fascination with the Dodo Bird” (ab Minute 45)

Solch ökonomisch motivierte Selbstzensur gehört heute bei den Medien leider zur Normalität. Ebenso wurde mit Ausnahme des WDR auch nicht in den Medien berichtet, dass erst kürzliche am Pascal Gymnasium in Grevenbroich (dort wo Chefredaktor Horst Schlämmer beim Tagblatt sein Unwesen treibt) ein paar Gymnasiasten im Physikunterricht unter Anleitung von Lehrer Werner Kirchhoff einen Personalausweis (schliesslich sind alle Deutsch Angestellte der Deutschland AG) mit Lötkolben, Zange und einem Fotoapparat ausser Funktion gesetzt haben. Einzig der WDR hat darüber am 13.09.2010 berichtet, musste das Video aber kurz darauf wieder vom Netz nehmen. Es erschien längere Zeit nur noch ein Netzwerkfehler mit der Meldung “Datei nicht vorhanden”. Doch später wurde der Beitrag wieder freigegeben. Auf YouTube gibt es zum Glück Dutzende solcher Videos, die zeigen, wie das geht:

Das funktioniert übrigens auch mit einer Zündspule aus einem älteren Auto (die haben noch so Dinger eingebaut) und einem Kondensator aus einem ausgedienten Receiver und hinterlässt keinerlei Spuren. Auch in der Mikrowelle wird der Chip zerstört, hinterlässt aber ein Brandloch in der Plastikkarte. Da die neuen, digitalen Ausweis auch bei defektem Chip gültig bleiben, tut sich mit der Deaktivierung durch elektromagnetische Schockwellen eine Möglichkeit auf, den Datenschutz auch bei biometrischen Ausweisen wiederherzustellen.

Damit haben die deutschen Verfassungsrichter den Rechtsstaat ein Stück weit wiederhergestellt. Das ist gut so und es war auch dringend nötig, der Datensammelwut überwachungswütiger “Staatsschützer” Einhalt zu gebieten. Ein Staat der private Unternehmen dafür rügt, die Privatsphäre der Bürger zu verletzen, weil sie deren Gewohnheiten bespitzeln, von ihnen persönliche Profile für die Werbewirtschaft erstellen und sie mit Diensten wie Google Street-View in der Öffentlichkeit blossstellen, darf nicht selber zur Datenkrake werden. Das Urteil aus Karlsruhe entspricht vollumfänglich meinen Erwartungen und wurde in der Presse und in breiten Teilen der Bevölkerung mit Genugtuung und Erleichterung aufgenommen. Es wird (hoffentlich) auch für andere Staaten in Europa Signalwirkung haben.

Der Aufstand der rund 35’000 Kläger gegen die staatliche Willkür hat sich gelohnt. Der wohl grösste Massenklage-Prozess in der Geschichte Deutschlands hat aber auch gezeigt, wie schwierig und aufwendig es ist, die Irrungen fehlgeleiteter Legislativpolitiker zu korrigieren. Mein Vertrauen in die Rechtsstaatlichkeit wurde heute jedenfalls wieder ein Stück weit gestärkt. Es sind eben doch nicht alle Juristen einfach nur opportunistische Winkeladvokaten, Scheidungsblutsauger und Abmahntalibane, sondern es gibt immer noch genügend, denen das Recht am Herzen liegt. Ihnen allen spreche ich an dieser Stelle meinen herzlichen Dank aus!

(Video: Reuters)

Die Provider müssen die bisher gespeicherten Daten zunächst einmal umgehend löschen, sofern diese nicht für die Abwicklung ihrer eigenen Geschäftstätigkeit (z.B. für die Rechnungsstellung) notwendig sind. Doch mit dem Urteil von heute ist die Vorratsdatenspeicherung leider noch lange nicht vom Tisch und IP-Adressen dürfen dem Urteil zufolge auch künftig ohne einen Richterbeschluss herausgegeben werden,  sofern ein “hinreichender Anfangsverdacht” und eine “konkrete Gefahr” vorliegen. Dem Gesetzgeber wurden aber klare Leitplanken für die Erarbeitung eines neuen Gesetzes gesetzt, innerhalb deren eine Speicherung der Kommunikationsdaten möglich wäre. Das Gericht stellt nicht die EU-Richtlinie in Frage, sondern knüpft deren Umsetzung in deutsches Recht an strenge Bedingungen.

EU-Justizkommissarin Viviane Reding befürchtet, dass die Richtlinie das Recht auf Privatsphäre unterlaufen könnte, das in der EU-Grundrechtecharta festgeschrieben ist, und möchte sie noch in diesem Jahr einer grundlegenden Überprüfung unterziehen. Österreich, Schweden und Rumänien haben die Vorratsdatenspeicherung bis heute verweigert und müssen dafür Bussgelder bezahlen. In den noch hängigen Verfahren in Irland und Ungarn könnte die grundrechtswidrige Vorratsdatenspeicherung sogar dem Europäischen Gerichtshof zur Prüfung vorgelegt werden. Es ist demnach immer noch möglich, dass die EU-Richtlinie gänzlich gekippt wird, was sehr zu hoffen ist.

(Video: Reuters)

Zu allen Daten, die in einem Unternehmen anfallen, gibt es zugriffsberechtigte Personen. Dies sind sowohl Datenerfasser und -bearbeiter als auch Systemadministratoren, Supporter und für den Betrieb und Unterhalt zuständige Entwickler. Entsprechend schwierig ist es, die Erstellung einer Kopie zu bemerken und zu beweisen sowie den Täter zweifelsfrei zu identifizieren, auch wenn der Kreis der Berechtigten limitiert ist. Noch schwieriger ist es, einen erlittenen Schaden und einen Kausalzusammenhang zwischen dem Schaden und einer illegalen Handlung im Zusammenhang mit einem Datenzugriff nachzuweisen.

Ein “Datendiebstahl” ist und bleibt meist ein Phantom, dessen Gestalt nur schemenhaft erkennbar ist. In diesem Nebel blüht das Geschäft mit der illegalen Nutzung von persönlichen Daten, vor allem da Datenkriminalität mittlerweile weitaus lukrativer und risikoarmer ist als Prostitution und Waffen- oder Drogenhandel. Dies stellt für die Justiz wohl eine der grössten Herausforderungen in der Informationsgesellschaft dar, denn die Gesetze stammen zum grössten Teil noch aus einer Zeit, als Daten allesamt noch an Papier gebunden waren, und die neuen Gesetze scheinen nicht wirklich zu greifen. Viel kann man diesbezüglich auch nicht erwarten, wenn nicht einmal die Begriffe präzis genug sind, um einen Sachverhalt korrekt zu beschreiben.

Siemens IT Solutions and Services (SIS) arbeitet im Auftrag des deutschen Bundesinnenministeriums an einem Bürger-Client zum elektronischen Personalausweis. Das eigentliche Stück Software dazu steuert das schweizer Unternehmen OpenLimit bei. Damit soll die sichere Inanspruchnahme von E-Business- und E-Government-Diensten ermöglicht werden. Der Bürger-Client wird auf dem Computer des Benutzers installiert und gewährleistet die verschlüsselte Kommunikation zwischen Kartenlesegerät, dem elektronischen Personalausweis und der Serverkomponente eID-Server. Damit ist der sichere Datenaustausch zwischen dem Benutzerrechner und dem Behördenserver gewährleistet.

Als willkommener Nebeneffekt kann man aber auch jeden Computer überwachen, der diese Software installiert hat. Denn der Bürger-Client hat uneingeschränkten Zugriff auf alle Daten auf der Festplatte und der Benutzer hat keine Möglichkeit, zu überprüfen, was an den Server übermittelt wird, weil der Inhalt sicher verschlüsselt ist. Ebenso könnte mit dem Bürger-Client überwacht werden, wer welche Adressen im Internet besucht. Der praktisch vollständig gläserne Bürger könnte schon bald Realität werden und das wäre der definitive Tod der Privatsphäre.

Auch wenn in der ersten Version noch keine Schnüffel-Software eingebaut wird, besteht nicht nur theoretisch die Gefahr sondern der dringende Verdacht, dass dies in Zukunft der Fall sein wird. Die einzige Möglichkeit, dies zu verhindern, wäre, den Quellcode für die Software öffentlich zu machen und unter eine OpenSource-Lizenz zu stellen.

Die Änderung der Rechtsgrundlage erfolgt weder über die Änderung eines Gesetzes noch einer Verordnung sondern über die neue “IP-Richtlinie” im Rahmen der Überwachung des Post- und Fernmeldeverkehrs. Die neuen Regelungen treten bereits per 1. August 2009 in Kraft und nach einer kurzen Übergangszeit sollen alle Provider bis Ende Juni 2010 die technische Aufrüstung und Zertifizierung vollzogen haben. (Was passiert eigentlich, wenn ein Provider die Zertifizierung nicht besteht?) Wie bei der Vorratsdatenspeicherung in Deutschland müssen nun auch in der Schweiz alle Kommunikationsdaten verdachtsunabhängig sechs Monate vorgehalten werden. Immerhin braucht es in der Schweiz für eine Überwachung immer noch eine richterliche Genehmigung. Als Überwachungsgrund reichen allerdings bereits “Gewalt und Drohung gegen Beamte”, “unerlaubte Datenbeschaffung” oder “Betrug” aus. Solche Verdachtsmomente lassen sich nur allzu leicht konstruieren.

Für mich zu denken geben folgende Auffälligkeiten:

1. Die Dokumente sind als “vertraulich” klassiert und die Vernehmlassung fand während nur knapp drei Wochen bis 30. Juni 2009 vertraulich statt. Was soll diese Heimlichtuerei und wozu die Eile? Das ist doch keine Vernehmlassung. Das ist eine gezielte Ausserkraftsetzung der Demokratie und eine Entmündigung des Souveräns!
2. Die Anhänge sind in Englisch verfasst, d.h. in keiner der Landessprachen. Das lässt darauf schliessen, dass hier Dokumente aus einem anderen Land beziehungsweise vom “European Telecommunications Standards Institute” (ETSI) mit nur kleinsten Anpassungen übernommen wurden. Dies ist wieder ein Beweis, dass wir uns immer mehr die Gesetze anderer Länder aufzwingen lassen müssen. Aber müssen wir uns das wirklich gefallen lassen?

Was war der Auslöser für diese Aktion und weshalb diese aussergewöhnliche Eile? Von Beamten ist man sich solch ein Tempo sonst gar nicht gewohnt. Wie immer bei solchen Dingen, stellt sich mir automatisch die Frage: “cui bono?” (für Nicht-Lateiner: zu wessen Vorteil / wem nützt es?).

Die neue IP-Richtlinie zeigt allerdings auch die völlige technische Inkompetenz im EJPD, denn die ganze Überwachung lässt sich mittels Verschlüsselung und Verwendung von Anonymisierungsnetzwerken wie TOR ohne Mühe und grossen Aufwand aushebeln. Aber bereits bei Verwendung von Proxies und eines fremden Internetzugangs (zum Beispiel beim Nachbarn oder im Internet-Café) wird es für die Überwachung schwierig, gerichtsverwertbare Beweise zu sammeln.

Von den Providern wird der Zugang zu einer permanenten Testumgebung verlangt. Mit welchen Testdaten getestet werden soll, wird nicht spezifiziert. Vor allem kleinere Provider werden unter den Investitionskosten, die sie vollumfänglich selber tragen müssen, ohnehin schon genug zu leiden haben. Folglich werden sie bei der Bereitstellung der Testdaten sparen wollen und einfach die produktiven Daten in die Testumgebung kopieren.

Endlich hat auch die Schweiz nach Einführung von biometrischen Personenausweisen in Sachen Überwachungsstaat zur Europäischen Spitze aufgeschlossen! So rückt Europa wieder etwas näher zusammen …

Text:
“Vernehmlassungseinladung IP-Richtlinie Üpf (deutsch)”
Anhänge:
“Technical Guideline (englisch)”
“Organisational and administrative requirements (englisch)”

Produziert hat das Video der Filmemacher und Design-Student Alexander Lehmann. Jetzt wissen wir endlich, wofür wir Überwachungskameras auf öffentlichem Raum und in Verkehrsmitteln, biometrische Pässe, zentrale Biometrie-Datenbanken, Vorratsdatenspeicherung, Online-Überwachung und Internet-Sperren brauchen. Sicherheit durch totale Kontrolle wurde schon in der Sowjetunion und im braunen Reich gross geschrieben. Nun wird endlich die ganze Welt sicher gemacht.

Wie ich bereits vorhergesagt habe, wird der Abstimmungskampf emotional und unsachlich geführt. Als jüngstes Beispiel zeugt davon der Artikel “Passdaten für Fahndungen” (PDF und Online-Ausgabe) von Christoph Moser beim “Sonntag” über die jüngsten Äusserungen der FDP-Nationalrätin Doris Fiala: “Ich bin der Meinung, die biometrischen Passdaten sollten auch für Fahndungen benutzt werden können … nur im Fall von Schwerverbrechen”. Sie begründet ihre Meinung mit: “Wir leben in Zeiten, in denen wir uns in der Abwägung zwischen Sicherheit und Freiheit für die Sicherheit entscheiden müssen. Diese Entwicklung macht auch vor Freisinnigen nicht Halt.”. Dies war sogar heise online einen Beitrag wert.

Frau Fiala erklärt sich

Noch am Sonntag habe ich Frau Fiala über ihre Website kontaktiert und von ihr folgende unpersönliche Antwort ohne Anrede erhalten:

Besten Dank für Ihre Zeilen. Ich bitte Sie, untenstehende Aussagen zur Kenntnis zu nehmen. Leider schreiben Medien nicht immer, was man effektiv gesagt hat.

Mit besten Grüssen: Doris Fiala

Weiter unten stand eine Email von Frau Fialas PR-Kollegen Andreas Hugi von der PR-Agentur Furrer.Hugi&Partner AG, die die Abstimmungskampagne für das Befürworter-Komitee “Ja zur Reisefreiheit!” führt:

Betreff: Komitee “Ja zur Reisefreiheit!”: Berichtigung von Nationalrätin Doris Fiala zum Artikel im heutigen “Sonntag”

Sehr geehrte Damen und Herren

Zur Kenntnis erhalten Sie beigelegt die Berichtigung von Nationalrätin Doris Fiala zum Artikel im heutigen „Sonntag“, wie sie in diesen Minuten an die Medien geht. Zu Ihrer Info lege ich Ihnen besagten Artikel bei.

Freundliche Grüsse
Andreas Hugi

Als Anhang war eine entsprechende Medienmitteilung (PDF) beigefügt. Darin distanziert sich Frau Fiala scheinbar von ihrem Zitat im “Sonntag” oder eben auch nicht (man lese genau):

Die Zeitung “Sonntag” hat in der heutigen Ausgabe von mir nicht autorisierte Zitate verwendet, um einen reisserischen Beitrag über die Verwendung der Passdatenbak ISA für Fahnungszwecke zu konstruieren. Tatsächlich fand lediglich ein kurzes Vorgespräch zu Hintergrundüberlegungen statt. [...]

Sie streitet das Zitat als solches also gar nicht ab, sondern möchte es nur nicht in diesem Zusammenhang publiziert sehen, um den Ausgang der Abstimmung vom 17. Mai nicht gegen ihre eigene Überzeugung zu beeinflussen. Welch ein dialektischer Kunstgriff!

Biometrische Datenbank für Fahndung grundsätzlich nutzbar

Die biometrischen Daten könnten sehr wohl für Fahndungszwecke verwendet werden, denn ein ausdrückliches Verbot zur Verwendung der Daten für Fahndungszwecke ist im Gesetz gar nicht vorgesehen. In Artikel 12 “Datenbearbeitung und Datenbekanntgabe”, Absatz 3 heisst es sogar:

Zur Identifikation von Opfern von Unfällen, Naturkatastrophen und Gewalttaten sowie von vermissten Personen dürfen Daten aus dem Informationssystem weitergegeben werden. Auskünfte an weitere Behörden richten sich nach den Grundsätzen der Amtshilfe.

Dem Bundesamt für Polizei wurden zur Erfüllung seiner gesetzlichen Aufgaben in Absatz 2 denn auch gar keine Einschränkungen für den Zugriff auf die biometrische Datenbank auferlegt.

Und aus eigener beruflicher Erfahrung kann ich bestätigen, dass kein Gesetz auf der Welt in der Lage ist, Datenmissbrauch zu verhindern. Was technisch möglich ist und wovon sich jemand irgendeinen Nutzen verspricht wird auch gemacht, sofern der Aufwand als vertretbar erachtet wird.

Die Rolle der Lobby-Agentur Furrer.Hugi&Partner

Die PR-Agentur Furrer.Hugi&Partner AG lobbiert neben verschiedenen Parteien, Unternehmen und Organisationen auch für die Bundestverwaltung (“Wir unterstützen das Bundesamt für Bauten und Logistik in der Kommunikation mit den Zielgruppen Medien, Öffentlichkeit und Mitarbeitende”, siehe Referenzliste) und hat ihren Sitz daher wohl nicht ganz zufällig nur wenige Meter neben dem Bundeshaus. Einige ihrer Mitarbeiter hatten zuvor sogar leitende Funktionen im Generalsekretariat des Eidgenössischen Finanzdepartements (EFD) beziehungsweise beim Informatikstrategieorgan des Bundes (ISB). Auch die Verbandelung mit FDP-Nationalrat Ruedi Noser und der Economiesuisse lässt aufhorchen.

Vielleicht sollte man die Auftragsvergabe-Politik des Bundesamtes für Bauten und Logistik (BBL) nicht nur im Zusammenhang mit dem 42 Mio-Auftrag an Microsoft untersuchen, um sicherzustellen, dass die Lobby-Agentur Furrer.Hugi&Partner AG nicht indirekt mit unseren Steuergeldern finanziert wird, denn dies ist auch das Bundesamt, welches für die Publikation der Abstimmungs-Broschüren verantwortlich ist, im Rahmen des Beschaffungswesens die Erstellung der neuen biometrischen Pässe in Auftrag geben soll und von einem Ja an der Urne profitieren würde.

Weitere Informationen

Wie kann übrigens jemand allen Ernstes behaupten, die zentrale biometrische Datenbank sei vor Missbrauch sicher, wenn Hacker bereits mehrfach in die Systeme des Pentagons und der US-Flugkontrolle einbrechen konnten?

• Keine biometrische Ausweise mit RFID-Chips!
• Auch der Datenschutzbeauftragte ist skeptisch
• Wie Medien und Politiker Abstimmungen manipulieren
• Sicherheitsmängel bei Lesegeräten für biometrischen Pass

Am 17. Mai 2009 stimme ich mit NEIN zur Einführung von biometrischen Personenausweisen:

• NEIN zur verdachtsunabhängigen Zwangs-Fichierung der gesamten Bevölkerung in einer zentralen Datenbank!
• NEIN zur einer völlig unsicheren Pass-Technologie!
• NEIN zu einer Blanko-Vollmacht zur Einführung von biometrischen Identitätskarten!
• NEIN zum nächsten Schritt zum totalitären Überwachungsstaat!

Fazit der Tester: “Unter idealen Bedingungen ist das drahtlose Mithören bis zu einer Distanz von etwa 25 Metern möglich.” Aus noch weit grösserer Distanz lassen sich die Lesegeräte über das Stromnetz anzapfen. Denn die Spezialisten des Bakom fanden heraus, dass die Apparate (mit angeschlossenem Notebook) die gelesenen Daten «ungewollt über das 230-Volt-Netz weiterleiten». Messungen und Berechnungen hätten gezeigt, dass «ein Mitlesen auf der Hausinstallation bis zu einer Distanz von über 500 Metern möglich ist».

Das Bakom warnt zudem davor, den biometrischen Pass ohne Schutzhülle aufzubewahren. Mit Netzfiltern glaubt man beim EJPD naiv, dem Mangel Abhilfe zu schaffen, und schlägt alle Warnungen des Bakom in den Wind. Aber auch wenn die Lesegeräte in der Schweiz sicher wären, ist damit das Problem im Ausland noch lang nicht behoben. Schliesslich wird der Pass vor allem für Reisen im Ausland gebraucht.

Noch in der Arena-Sendung vom 1. Mai hatten Bundesrätin Eveline Widmer-Schlumpf und Roman Vanek, Chef der Sektion Ausweisschriften beim Fedpol wiederholt die Sicherheit des neuen Passes betont und damit die Zuschauer wohlwissend angelogen, ohne dabei rot zu werden. Ebenso lügt die Frau Bundesrätin, wenn sie behauptet, dass wir bei Ablehnung des biometrischen Passes für Reisen im EU-Raum künftig ein Visum bräuchten. Solche Lügen sind eines Bundesrates unwürdig und eine Schande für die Schweiz. Frau Bundesrätin, ich fordere Sie zum Rücktritt auf!

Wer sich sachlich über das Thema informieren möchte, liest …

• Keine biometrische Ausweise mit RFID-Chips!
• Biometrischer-Pass.ch
• Freiheitskampagne.ch (Informationsmaterial als PDF)

Die Medien abstrahieren den Abstimmungskampf auf “Datenschutz gegen Reisefreiheit“. Diese vereinfachte Sicht greift aber viel zu kurz. Den Gegnern der Vorlage wird in den Medien Angstmacherei vorgeworfen im Zusammenhang mit der Kritik an der zentralen Speicherung aller Fingerabdrücke in einer Datenbank des Bundes und deren Missbrauchspotential. Die sachlichen Argumente gegen die Einführung einer digitalen Hundemarke für Menschen und gegen die verdachtsunabhängige Speicherung der Fingerabdrücke aller Passinhaber in einer zentralen Datenbank werden einfach unter den Tisch gekehrt. Dass die in den Pässen eingesetzte RFID-Technologie bereits veraltet und völlig unsicher ist und die Speicherung von biometrischen Daten in RFID-Chips Datenmissbrauch und Identitätsdiebstahl begünstigt, davon ist in den Medien nie die Rede. Im Gegenzug wird den Befürwortern zugestanden, mit den “Argumenten” zu werben, dass die Nicht-Einführung des biometrischen Passes negative Konsequenzen für die Schweizer Wirtschaft und den Tourismus sowie den Verlust der Reisfreiheit zu Folge hätte. Dies wird in den Medien nicht als Angstmacherei gewertet. Auch der “Politikwissenschaftler” Claude Longchamp stiess in der Tagesschau vom 08.04.2009 mit gewohnter Inkompetenz in dieses Horn:

Den Vogel abgeschossen hat dann S. B. mit dem Artikel “Der kleine rote Computer” am 17. April bei der NZZ. Mit pseudo-kompetenter Feder versucht er unter anderem, die Funktionsweise des Datenzugriffs auf den RFID-Chip zu erklären, um die Sicherheit des Passes zu veranschaulichen und Bedenken diesbezüglich auszuräumen:

Gemäss den Vorgaben der Internationalen Zivilluftfahrtorganisation ICAO und der Internationalen Organisation für Normung (ISO/EIC 14443) ist der Chip darauf vorbereitet, mit Lesegeräten komplizierte Verhandlungen zu führen und die ihm anvertrauten Daten mit einem ganzen Arsenal an kryptologischen Algorithmen zu schützen.

Dieses “ganze Arsenal” besteht eigentlich nur aus einem einzigen kryptographischen Algorithmus und auch sonst scheint S.B. die Sache mit den digitalen Schlüsseln und der Public Key Infrastructure (PKI) nicht ganz kapiert zu haben. Dass sich ein Journalist derart für Politpropaganda einspannen lässt, empfinde ich als Skandal. Normalerweise müssen Advertorials wie dieses in den Medien klar als solche deklariert werden.

Am 1. Mai gab es sogar eine Arena-Sendung zur Abstimmung vom 17. Mai über die Einführung von biometrischen Reisepässen und Identitätskarten. Da platzte mir nun endgültig der Kragen. Die ganze Diskussion war, wie wenn Blinde über Gemälde von Vincent van Gogh sinnierten.

Über die technischen Apsekte versprach Remo Brennwald später detailliert zu sprechen, als er Bastien Girod in der 9. und 18. Minute ins Wort fiel. Daraus wurde dann jedoch nichts, denn schliesslich war gar kein Experte im Studio. Da stellt sich natürlich die Frage, warum kein einziger Experte zur Diskussion eingeladen wurde. Roman Vanek (Anfragen können an ihn per Email gestellt werden) ist zwar Chef der Sektion Ausweisschriften des Bundesamtes für Polizei Fedpol, aber als Experte mit detailliertem technischen Wissen kann er wohl kaum gelten. Zudem hat er in der Sendung nicht einmal ansatzweise mit technischer Sachkenntnis brilliert.

Die Befürworter weisen immer wieder auf den angeblich hohen Sicherheitsstandard des Schweizer Passes hin, nur genauer beschreiben oder belegen können sie diese Sicherheit nicht. Der biometrische Pass stösst in der Fachwelt denn auch auf grosse Skepsis und diverse Hacker haben bereits bewiesen, dass der Pass geknackt, unerlaubt ausgelesen und kopiert werden kann. Mit der Einführung von biometrischen Pässen wird sich ein neues Geschäftsfeld für Kriminelle entwickeln und Fahnder werden gegen sie keine Chance haben.

Die Reise im Schengenraum verlangt keine biometrischen Reisepässe und die Reisefreiheit steht nicht auf dem Spiel, denn die ist als Menschenrecht in der Verfassung verbrieft. Dieses Grundrecht ist auch ohne biometrische Reisepässe gegeben. Wenn deren Befürworter die Angst schüren, dass die Reisefreiheit bei Ablehnung der Gesetzesvorlage nicht mehr gewährleistet sei, ist dies eine glatte Lüge! Diese wird auch dadurch nicht wahr, dass sie immer wiederholt wird.

Frau Bundesrätin Widmer-Schlumpf, hören Sie auf, die Stimmbürger anzulügen und einzuschüchtern! Wir haben eine Wahlfreiheit und sagen deshalb am 17. Mai 2009 NEIN zu den biometrischen Ausweisen! Die Gründe habe ich ja bereits im Beitrag “Keine biometrische Ausweise mit RFID-Chips!” detailliert beschrieben. Wer noch mehr Informationen braucht, schaut sich die Reportage “Biometrischer Pass: Achtung Gefahr!” der Sendung “Temps Présents” der Télévision Suisse Romande (TSR) vom 9.10.2008 an:

Kaum gestartet: Bling! Da meldet sich bereits die Firewall und fragt mich, ob ich dem fifa09.exe den Zugriff auf das Internet gewähren möchte, was ich mit einem klaren NEIN für immer und ewig beantworte. Das gefällt dem Spielprogramm nun gar nicht, denn es macht mir mit einer Meldung klar: kein Zugriff auf’s Internet – kein Spielspass! Was für eine Frechheit, denke ich mir und nehme die Hülle der DVD etwas genauer unter die Lupe. Da steht doch wirklich in kaum zu lesen kleiner Schrift: “Internet Connection Required”. Und etwas weiter unten steht:

“INTERNET CONNECTION, ONLINE AUTHENTICATION AND ACCEPTANCE OF END USER LICENSE AGREEMENT REQUIRED TO PLAY. [...]“

Wer kein Englisch oder keine Fremdwörter wie “Authentication” versteht oder etwas schwächere Augen hat, der hat gar keine Chance, diesen eingebauten Softwaremangel bereits vor dem Kauf zu entdecken. Aus Sicherheitsgründen gibt es bei uns zuhause keine PC-Spiele, die sich mit dem Internet verbinden. Einerseits bin ich und niemand anders Herr über die Daten und andererseits wird kein Einfallstor für Schadsoftware geöffnet. Und es gibt kein Computerspiel auf dieser Welt, das mir mein Sicherheitskonzept untergräbt!

Morgen bringt mein Junior die DVD in Laden zurück. Mal schauen, ob sie ihm sein Taschengeld zurückerstatten …

Materie hat keine Persönlichkeit und somit auch keine Privatsphäre – aber Menschen haben so etwas. Deshalb sind beim RFID-Einsatz im Zusammenhang mit Menschen ganze andere Kriterien für die Beurteilung massgebend. Wer dies ausser Acht lässt, demonstriert damit entweder nur Dummheit und Ignoranz oder aber – was noch schlimmer wäre – seine Verachtung für seine Mitmenschen, indem er es akzeptiert, dass sie wie Rindvieh mit einer “digitalen Hundemarke mit Peilsender” gekennzeichnet werden. Umso bedenklicher ist es, wenn solche Bemühungen auch noch im Staatsauftrag erfolgen sollen, wie dies gerade in der Schweiz bei den geplanten Personenausweisen mit RFID-Chips zur Speicherung von biometrischen Merkmalen der Fall ist.

Im Hinblick auf die Abstimmung vom 17. Mai 2009 habe ich daher von offizieller Seite unterschlagene Informationen zusammengestellt, die jeden verantwortungsbewussten Stimmbürger interessieren dürften.

Was ist und wie funktioniert RFID?

RFID (Radio Frequency Identification) ist eine Technologie, bei der auf einem winzig kleinen, elektronischen Funk-Speicher-Chip Daten gespeichert werden, welche berührungslos ausgelesen werden können, indem der RFID-Chip seine Daten per Funk mitteilt, sobald er mit einem bestimmten Funksignal angeregt wird. Ursprünglich wurde RFID (wie der Name schon sagt) für die schnelle, kostengünstige und kontaktlose Identifikation von Waren innerhalb einer Logistikkette entwickelt. Heute ist die Speicherkapazität der RFID-Chips um ein Vielfaches grösser, so dass praktisch jede beliebige Information auf ihnen gespeichert werden kann. Dies hat die Verantwortlichen dazu verleitet, RFID auch in Personenausweisen einzusetzen, obwohl die Technologie keine hinreichenden Sicherheitsfunktionen bietet – mit fatalen Folgen für unsere Privatsphäre.

Wie der neue biometrische Reisepass funktioniert und wie unsicher er ist, zeigte das Schweizer Fernsehen in der Sendung “Einstein” am 20. März:

RFID begünstigt permanente Überwachung, Identitätsdiebstahl und Betrug

Jedes Werkzeug bringt bei zweckgemässer und fachgerechter Anwendung den grössten Nutzen. Bei Missbrauch und Zweckentfremdung allerdings kann es sogar Leid und Tod bringen. Am einfachsten lässt sich dies an einem Küchenmesser nachvollziehen. Bei RFID ist dies nicht anders. Nur sind hier die negativen Folgen eines Missbrauchs nicht auf den ersten Blick erkennbar und damit der Missbrauch als solcher nicht offensichtlich.

Besonders bedenklich ist der unverbesserliche, naive Glaube von Politikern in die RFID-Technologie. Obwohl bereits mehrmals demonstriert wurde, wie einfach sich Ausweise mit RFID-Chips unerlaubt und heimlich auslesen, kopieren und auch fälschen lassen, wird dies konsequent ignoriert und vertuscht. Dem deutschen Sicherheitsexperten Lukas Grunwald, Geschäftsführer der Hildesheimer Firma DN-Systems, ist es bereits 2006 gelungen, die in deutschen Pässen verwendeten RFID-Chips zu klonen. Diese Chips sollen auch in den Schweizer Ausweisen zum Einsatz kommen. Mit der Technik könnten Kriminelle oder Terroristen somit prinzipiell Pässe mit Funkchips ausstatten, auf denen fremde Identitäten gespeichert sind. Grunwald brauchte dazu nur zwei Wochen und nutzte dabei lediglich die E-Pass-Dokumentation der International Civil Aviation Organization (ICAO), die auf deren Website öffentlich zugänglich ist. Die ICAO, eine Institution der Uno, hat den E-Pass-Standard entwickelt, dem nicht nur die EU-Staaten, sondern auch die USA folgen. Grunwald demonstrierte seine Klontechnik auf der Black Hat Conference in Las Vegas, auf der Hacker und Sicherheitsexperten von Firmen zusammentreffen. “Die ganze Architektur der Pässe ist total hirnverbrannt”, sagte Grunwald der Online-Ausgabe des Magazins “Wired”. Bei vollautomatischen Einreisekontrollen, wie sie in einigen Ländern für ausgewählte Reisende geplant sind, können allein anhand der Chipdaten geklonte Chips die Fahnder in falscher Sicherheit wiegen.

RFID wurde ursprünglich gar nicht für den Einsatz in Sicherheitssystemen konzipiert sondern für die Warenlogistik. RFID ist eine noch sehr unreife und unsichere Technologie und hat daher in biometrischen Ausweisen nichts verloren! Und auch in der Warenlogistisk muss spätestens an der Kasse oder nach dem Auspacken der Ware Schluss mit RFID sein. Die einzige sinnvolle Ausnahme bildet die Kennzeichnung von Medikamenten, deren falsche Einnahme in bestimmten Fällen lebensbedrohlich sein kann, sowie von gefährlichen Stoffen und Produkten, die einer besonderen Handhabung bedürfen.

Die heutige RFID-Technologie begünstigt den Identitätsdiebstahl und den Betrug mit geklauten und gefälschten Identitäten. Eine Verbesserung der Identifizierungs- und Fälschungssicherheit kann (wie offiziell propagiert) nicht erreicht werden. Das Gegenteil ist der Fall: die elektronischen Ausweise lassen sich mit dem entsprechenden technischen Fachwissen leichter fälschen als mit den bisherigen Sicherheitsmerkmalen ausgestattete Papierausweise. Ausserdem lassen sich damit Personen lokalisieren und Bewegungsprofile von ihnen erstellen, womit die Basis für einen Überwachungsstaat auch jenseits der bereits heute überwachten Kommunikationsinfrastrukturen (Internet und Telefon) und internationalen Finanzströme gelegt würde. Der mit einem RFID-Chip bestückte Ausweis wird zum persönlichen Peilsender. Wie dies heute schon funktioniert, zeigen Forscher an der University of South Florida anhand der Erstellung und Auswertung von Bewegungsmustern von Patienten in Seniorenheimen. Wenn in Zukunft dann auch nur noch mit der elektronischen Identitätskarte gewählt und abgestimmt werden kann, wird es kaum noch jemandem möglich sein, seine demokratischen Rechte frei wahrnehmen und anonym stimmen und wählen zu können.

Die elektronischen Ausweise wurden bisher nur sehr unzureichend getestet. Sicherheitstests, sogenannte Hackertests, wurden keine tauglichen durchgeführt. Was mit gehackten, kopierten, gefälschten oder gestohlenen Ausweisen geschehen soll, um ihre Inhaber vor weiterem Schaden zu bewahren, ist nicht definiert. Daher erstaunt es nicht, dass bisher noch kein Sicherheitskonzept veröffentlicht wurde. So wird es jedem Bürger verwehrt, sich über die Sicherheit des Systems ein Bild zu machen. Daraus kann gefolgert werden, dass es keine Sicherheit gibt.

Die grundlegenden technologischen Mängel lassen sich auch mit dem naiv-kompetenzfreien Geschwätz mancher Politiker über Sicherheit und Datenschutz nicht wegdiskutieren. Wer sich ein objektives Bild zum Thema machen möchte, vergleicht am besten einmal die Aussagen der verschiedenen Interessenvertreter (auch im Hinblick auf ihre technische Fachkompetenz). Google und Yahoo helfen gerne dabei.

Technologische Entwicklung und Zukunft elektronischer Ausweise

Wenn man die Trends in Sachen elektronischer Ausweise studiert, stellt man fest, dass es nicht bei der Speicherung von nur zwei biometrischen Merkmalen (Foto und zwei Fingerabrücke) bleiben wird. Schon länger bestehen Pläne, in Personenausweisen zusätzlich eine “elektronische Signatur” für den elektronischen Identitätsnachweis unterzubringen. In Deutschland werden solche Ausweise ab 2010 sogar schon Standard sein. Sie sollen die Abwicklung von Online-Geschäften und an Automaten erleichtern und Identitätsbetrügereien verhindern. Die propagierten Ziele wären an und für sich erstrebenswert, haben aber grundlegende Tücken, die den Schuss zwangsläufig nach hinten losgehen lassen. Welcher Unfug mit elektronischen Identitäten betrieben werden kann, kann man bereits heute bei den Online-Identitäten beobachten. Und das ist erst der Anfang.

Die “elektronische Signatur” ist der technologieunabhängige, rechtliche Begriff für die heutige “digitale Signatur”, die auf asymetrischen kryptographischen Methoden (Verschlüsselungstechniken) basiert. Für die digitale Signatur werden dabei “digitale Zertifikate” bestehend aus einem ungleichen Schlüsselpaar verwendet (daher die Bezeichnung asymetrisch). Eine Person ist jeweils im Besitz ihres persönlichen privaten Schlüssels, dessen Echtheit und Gültigkeit anhand ihres öffentlichen Schlüssels verifiziert werden kann. Dieser öffentliche Schlüssel ist bei einem Registrar beziehungsweise einer Zertifizierungsstelle hinterlegt und öffentlich für jedermann über das Internet abrufbar. Wird der private Schlüssel zur Signierung verwendet, wird der öffentliche Schlüssel zur Überprüfung vom entsprechenden Server abgerufen, wodurch jeder Verifizierungsvorgang zentral protokolliert werden kann. So kann auch zu jedem beliebigen späteren Zeitpunkt nachvollzogen werden, wer wann und wo welches Geschäft getätigt hat beziehungsweise seine Identität verifizieren liess.

Das Problem bei dieser Authentisierung ist, dass nur die Echtheit und Gültigkeit einer digitalen Signatur geprüft werden kann. Ob diese auch von ihrem rechtmässigen Besitzer verwendet wird, muss auf andere Weise festgestellt werden, was in Online-Shops und an Automaten schwierig sein dürfte. Zudem ist der “Diebstahl” einer digitalen Signatur nicht feststellbar, da sie nicht physisch entwendet sondern nur kopiert wird. Ein Missbrauch kann erst im Nachhinein festgestellt werden, wenn er bereits stattgefunden hat und es bereits zu spät ist.

Desweiteren gibt es Bestrebungen, künftig auch DNA-Merkmale (d.h. den genetischen Code) oder Iris-Scans in elektronischen Ausweisen zu speichern, da deren Unverwechselbarkeit viel höher ist als der von Fingerabdrücken und somit eine zweifelsfreiere Identifikation ermöglicht. Alle diese Informationen auf einem einzigen Ausweis unterzubringen, bringt aber untragbare Risiken mit sich, die in letzter Konsequenz noch gar nicht abschliessend klar sind. Beim Auslesen der einen Information kann nicht verhindert werden, dass auch die andere Information ausgelesen wird. Die bereits heute bekannten Risiken genügen vollauf, um biometrische Ausweise und RFID-Chips im Zusammenhang mit Personen grundsätzlich abzulehnen.

Mit elektronischen Personenausweisen zur Zweiklassengesellschaft

Elektronische Personenausweise können für ihren Inhaber in bestimmter Hinsicht aber auch praktisch sein. Entsprechend gehen die Argumente der Befürworter einseitig nur in diese Richtung, ohne dabei auf die gravierenden Probleme durch die unsichere Technologie und die Verletzung der Privatsphäre einzugehen. Kollateralschäden werden offenbar blind akzeptiert. Es ist schon heute absehbar, dass bereits in naher Zukunft – sollten elektronische Ausweise zum Standard werden – viele Dienstleistungen ohne einen solchen Ausweis gar nicht mehr oder nur noch unter erschwerten Bedingungen zugänglich sein werden. Auch wenn heute über ein “Benachteiligungsverbot” gesprochen wird, so kann dessen Umsetzung in der Praxis nicht sichergestellt werden. Es ist aber gänzlich unverhältnismässig und niemandem zuzumuten, seine Rechte bei jeder kleinen Verletzung mühsam und aufwendig einfordern zu müssen.

Schon heute kann eine gesellschaftliche Spaltung vorhergesagt werden, bei der nur die schweigsamen Anpasser in den Genuss von heute für jedermann selbstverständlichen Dienstleistungen kommen. Zugreisen werden zum Beispiel nach den gefahrenen Kilometern abgerechnet. Um diese zu erheben, wir jeder Passagier beim Ein- und Aussteigen registriert. Nur wer seinen biometrischen Ausweis auf sich trägt, darf mit dem Zug fahren. An den Schaltern der öffentlichen Verwaltung wird man bald nur noch nach Erfassung der auf dem RFID-Chip gespeicherten Daten bedient. Jeder Gang auf ein Amt wird elektronisch in einer zentralen Datenbank registriert. Alle jene, die auf ihr Recht auf Privatsphäre und informationelle Selbstbestimmung bestehen, werden benachteiligt.

Es ist nur zu hoffen, dass die Stimmen der warnenden Datenschützer auch bei den Politikern und Gesetzgebern Gehör finden, andernfalls der Abrutsch in eine Zweiklassengesellschaft unvermeidlich wird. In Deutschland scheinen die Warner leider von zu wenigen ernst genommen zu werden. Im grossen Kanton ist die Einführung des elektronischen Personalausweises mit Biometrie- und Signatur-Chip bereits vom Bundestag beschlossene Sache und wurde auch vom Bundesrat abgesegnet. Die Bundesbürger werden die neuen Dokumente im kleineren Scheckkartenformat ab November 2010 erhalten. Der neue Ausweis wird einen kontaktlos auslesbaren Chip enthalten, auf dem ein biometrisches Gesichtsbild sowie auf Wunsch zwei Fingerabdrücke gespeichert werden. Dazu kommt eine ebenfalls (vorläufig noch freiwillig) zu aktivierende Zertifikatsfunktion (elektronische Signatur), die als Ausweis fürs Internet dienen soll. Die Identitätsdaten können dabei der Spezifikation nach nur von Diensteanbietern abgefragt werden, wenn sie ihrerseits ein gültiges Bezugszertifikat an den Ausweisinhaber übermitteln und dieser den Austausch mit seiner Geheimnummer freigibt. Es werden aber derart viele Ämter und Diensteanbieter ein solches Bezugszertifikat besitzen , dass der einzelne Bürger gar keine Übersicht und Kontrolle mehr darüber haben kann, wer alles auf seine Daten zugreifen kann oder jemals zugegriffen hat. Zudem lässt sich diese Sicherheitsschranke mit Hacks relativ leicht austricksen und umgehen. Aber wir müssen diesem schlechten Beispiel ja nicht unbedingt folgen und haben am 17. Mai die einmalige Möglichkeit, NEIN zu stimmen.

Biometrische RFID-Ausweise helfen dem Terrorismus

Bei der flächendeckenden Kontrolle und Überwachung im paranoiden Sicherheitswahn unter dem Vorwand der Bekämpfung des und dem Schutz vor dem internationalen (und vor allem islamistischen) Terrorismus wird die Verletzung der Privatsphäre und die Aufhebung des Rechts auf informationelle Selbstbestimmung als Kollateralschaden diskussionslos akzeptiert. Die biometrischen Ausweise unterstützen jedoch den Terrorismus mehr als dass sie ihm schaden würden.

Weil das Kopieren und Fälschen der auf den RFID-Chips gespeicherten Inhalten so leicht ist, wird es mit biometrischen Personenausweisen den Terroristen noch einfacher gemacht, eine gefälschte Identität anzunehmen und ihre Umwelt zu täuschen, denn wenn die elektronischen Daten im Ausweis stimmen, wird man auf weitere Kontrolle verzichten. Das ist wohl kaum im Sinne des Erfinders.

Gezielte Anschläge auf Einzelpersonen können präziser ausgeführt werden. Unsichere Zeitzünder und Fernsteuerungen werden überflüssig. Hat ein Terrorist den elektronischen Pass seines Opfers einmal geortet und ausgelesen, stattet er seine Bombe mit einem RFID-Lesegerät aus und programmiert dieses so, dass es genau dann explodiert, sobald das Opfer anwesend ist. Dies ermöglicht es auch den Geheimdiensten, ihre Opfer gezielt zu “neutralisieren”.

Aktuelle Rechtsprechung

Grossbritannien unterhält zurzeit die grösste forensische DNA-Datenbank der Welt. Die “DNA-Database” erfasst 4.4 Millionen Personen, das entspricht 7 Prozent der Gesamtbevölkerung. Seit Beginn der Datenbank wurde bereits die DNA von über einer Million Minderjährigen registriert. Der Europäische Gerichtshof für Menschenrechte hat entschieden, dass die Speicherung von Fingerabdrücken und DNA-Proben von Verdächtigen, die nicht verurteilt wurden, gegen Artikel 8 der Europäischen Menschenrechtskonvention verstösst.

Geklagt hatten gegen die Speicherung ihrer Daten in dieser Datenbank zwei Briten, denen vor acht Jahren bei Ermittlungen in Strafverfahren Fingerabdrücke und DNA-Proben abgenommen worden waren. Obwohl sie unschuldig waren, verblieben ihre Daten in der Datenbank der Fahnder. Das Gericht befand nun, dass hier ein grobes Missverhältnis in der Abwägung privater und öffentlicher Interessen vorliegt.

Pauschalverdächtigung und Beweislastumkehr

Nach der Unschuldsvermutung ist jeder unschuldig, solange seine Schuld nicht bewiesen ist. Das sollte in jedem Rechtsstaat für jede Person gelten. Die in dieser zentralen Datenbank gespeicherten Daten werden künftig auch für Rasterfahndungen herangezogen. Damit wird die gesamte Bevölkerung unter einen Generalverdacht gestellt, d.h. die Unschuldsvermutung abgeschafft und die Beweislastumkehr eingeführt. Durch die biometrische Zwangserfassung der gesamten Bevölkerung und Speicherung dieser Daten in einer zentralen Datenbank werden alle Bürger ohne hinreichenden Grund pauschal verdächtigt. Demzufolge verstösst die Erfassung und Speicherung von biometrischen Merkmalen auf Vorrat und ohne hinreichenden Verdacht auf eine schwere Straftat gegen Artikel 8 der “Europäische Menschenrechtskonvention“. Bei einer künftigen Anreicherung der Daten auf dem RFID-Chip mit DNA-Merkmalen kann zusätzlich auch eine Verletzung von Artikel 14 (Diskriminierungsverbot) angenommen werden. Aber auch das “Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten” wird in jeder Hinsicht mit Füssen getreten. Diesbezüglich werden Menschenrechtorganisationen bestimmt noch aktiv werden.

Biometrische Daten wecken Begehrlichkeiten

Mit der Einführung biometrischer Ausweise wird der Missbrauch massgeblich erleichter und gefördert. Ob biometrische Daten letztendlich in zentralen oder dezentralen Datenbanken (ein elektronischer Ausweis kann als eine dezentrale Datenbank betrachtet werden) gespeichert werden, ist zwar von sekundärer Bedeutung, aber alles andere als unwichtig. Relevant ist vor allem, wer wann auf diese Datenbanken Zugriff hat und über deren Inhalt und Verwendung bestimmt.

Kaum ist die Einführung des biometrischen Reisepasses in Deutschland beschlossen, möchte der Innenausschuss des Bundesrates auch schon die Datenverarbeitungsmöglichkeiten zur Identitätsprüfung im Rahmen einer Polizeikontrolle ausweiten. Beamte sollen die erhobenen biometrischen Daten demnach für einen “automatisierten Abgleich mit erkennungsdienstlichen Dateien” von Bund und Ländern verwenden dürfen. Als Referenzdatenbank käme insbesondere das beim Bundeskriminalamt (BKA) geführte Automatische Fingerabdruck-Identifizierungssystem (AFIS) in Frage, heisst es in den Empfehlungen (PDF-Datei) für eine Stellungnahme des Bundesrats. Mit dem SIS II (Schengener Informationssystem der zweiten Generation) wird endgültig der Grundstein für eine “gemeinsame allgemeine Fahndungsdatei” aller Staaten im Schengenraum gelegt, d.h. jedes Schengen-Land hat dann Zugriff auf alle unsere in der zentralen Datenbank gespeicherten Fingerabdrücke sowie auch alle anderen zentral erfassten Daten.

Die Beamten-Computer sind unsicher

Die staatliche Kontrolle der Bürger ist der einzige (wahre) Zweck der biometrischen Ausweise – abgesehen davon, dass sich ein paar Unternehmen damit eine goldene Nase verdienen. Doch nicht einmal der Staat kann dafür sorgen, dass die Daten nicht in unbefugte Hände gelangen, denn auch die Computer der Behörden und Ämter hängen am Netz und sind ebenso den Risiken des Internets ausgesetzt, wie jeder andere Computer auch. Auch Beamte sind nur normale Computer-Benutzer und die Ämter stehen alle unter dem herrschenden Spardruck der Wirtschaftskrise. Folglich ist weder das Know-how noch das Geld vorhanden, um einen gewissen Sicherheitsstandard zu gewährleisten. Gerade die Rechner, welche die Ausweisdaten verarbeiten, sind ideale Angriffspunkte für einen Hacker, der auf Identitätsdiebstahl aus ist. Dies hat erst kürzlich das ZDF-Magazin WISO am 2. Februar 2009 gezeigt. Ein Angriff auf den Fingerabdruckscanner ist für einen versierten Hacker ein Kinderspiel und ganz ruck-zuck hat er die Fingerabrücke manipuliert und sich eine falsche Identität erschlichen. Wie das geht, zeigt dieser Beitrag.

Referendum gegen die Einführung biometrischer Personenausweise steht

Das Referendum gegen die Einführung von biometrischen Schweizer Pässen und Identitätskarten ist mit 63’733 Unterschriften deutlich zustande gekommen. Das passt anscheinend einigen Leuten nicht ins Konzept. Da sie offenbar nicht mit sachlichen Argumenten operieren können, bedient man sich der Diffamierung der Initianten, indem man sie in die Ecke der Verschwörungstheoretiker und Esoteriker zu drängen versucht, und jeden dazu, der die Verhinderung von RFID-Biometrie-Chips in Personenausweisen unterstützt. Davon zeugt der peinliche Tagesanzeiger-Artikel “Wenn die «Anti-Genozid-Partei» Politik macht” von Gieri Cavelty. Oder sollte Cavelty einfach nur stümperhaft recherchiert haben? Das sollte auch Otto Normalverbraucher stutzig machen! Interessant fand ich dazu auch den Kommentar beim Journalistenschredder und die Diskussion zu seinem Artikel.

Durch ihre Email-Blockade haben die Telekommunikations-Unternehmen Swisscom, Sunrise, Cablecom und Green.ch versucht, die Unterschriftensammlung für das Referendum zu behindern, indem sie die Zustellung der Newsletter des Referendumskomittees unterbunden haben. Eine solch höchst undemokratische Einmischung von Unternehmen der Privatwirtschaft in die Politik ist man sich in der Schweiz sonst gar nicht gewohnt. Dieser Manipulationsversuch führte am 22.9.2008 zu einer Interpellation von Nationalrat Oskar Freysinger (SVP/VS) im Nationalrat und am 3.10.2008 zu einem Postulat von Ständerat Luc Recordon (Grüne/VD) im Ständerat.

Die Blockaden stellen eine Beschneidung des Rechts auf freie Kommunikation sowie der Informationsfreiheit dar und haben die korrekte Durchführung des Referendums massiv behindert. Trotzdem ist es unter den gegebenen Umständen auch ohne die offizielle Unterstützung der grossen Landesparteien mit überwältigendem Erfolg zustande gekommen. Dies ist das erste Referendum und der erste Abstimmungskampf, wo sich Leute aller politischen Couleur querbeet von SD, SVP, über FDP und EDU bis Alternative, Grüne, SP und Linke sowie Menschenrechtsaktivisten gemeinsam für eine wichtige Sache engagieren, weil es hier nicht um Ideologien sondern um die Sicherung und Wahrung unserer Grundrechte und die Verteidigung unserer Privatsphäre geht, damit wir auch morgen in Freiheit politisieren können.

Dem Bund sollten die Risiken bekannt sein

Die Nationalrätin Evi Allemann hatte mit ihrem Postulat 05.3053 vom 9. März 2005 den Bundesrat beauftragt, zu prüfen, welcher Handlungsbedarf sich aus dem absehbaren flächendeckenden Einsatz der RFID-Technologie ergibt. Im Vodergrund stand die Abklärung auf mögliche gesundheitliche Risiken (insbesondere Risikopotenzial der Strahlung) im Zeichen des Konsumentenschutzes. Im Auftrag des Bundesamtes für Gesundheit wurde dazu der Bericht “Handlungsbedarf im Zusammenhang mit RFID-Technologie” (PDF) erstellt. Darin wurden unter anderem in Kapitel 8.4 auch der Datenschutz und die Datensicherheit im Zusammenhang mit der RFID-Technologie untersucht. Auf die bestehenden Schwachstellen wurde hingewiesen und als einzig praktikable Gegenmassnahme das Prinzip der Datenvermeidung und Datensparsamkeit gefordert: “Bei einer Verschärfung der Datenschutzproblematik durch grosse Mengen an Daten, welche unbemerkt gesammelt werden können, soll die Einführung des Prinzips der Datenvermeidung und Datensparsamkeit in Bezug auf Personendaten im Bundesgesetz über den Datenschutz neu überprüft werden”. Im Konsumbereich wird zusätzlich gefordert: “Konsumenten müssen in der Lage sein, mit einem Produkt erworbene Tags (d.h. RFID-Chips) zu zerstören, zu entfernen oder auszuschalten. Diese Deaktivierung des Tags darf nicht eine Einschränkung oder gar Beendigung der gesetzlichen Verpflichtungen der Händler oder der Hersteller des Produkts zur Folge haben.”. Weiter wird darauf hingewiesen, dass gemäss Datenschutzgesetz “ohne ausdrückliche Zustimmung der Konsumenten aus den gesammelten Daten keine Profile von Konsumenten erstellt werden dürfen”. Dies müsste alles konsequenterweise auch für biometrische Personenausweise gelten.

Der Abstimmungskampf wird emotional und verlogen

Es wartet ein heisser Abstimmungskampf auf uns, den die Bundesräte im Hinblick auf die bilateralen Abkommen mit der EU scheuen wie der Teufel das Weihwasser und am liebsten unter den Teppich kehren möchten. Ich bin schon gespannt auf die “Argumente” der Befürworter von biometrischen Personenausweisen. Mit sachlichen, logischen Argumenten können sie nicht aufwarten. Folglich bleibt ihnen gar nichts anderes übrig, als die Emotionen anzusprechen und die Angst vor dem angeblich drohenden Sicherheitsverlust und der stetig steigenden Terrorbedrohung zu schüren. Vor allem wird mit dem Argument der drohenden Isolation von Europa beziehungsweise von der EU Druck auf das Stimmvolk gemacht werden, weil mit der Annahme des Referendums angeblich die Umsetzung des Schengen/Dublin-Abkommens infolge erschwerter Anbindung an das Schengener Informationssystem SIS praktisch verunmöglicht würde – was eine Lüge ist. Tatsache ist, dass biometrische Ausweise für das Schengen-Abkommen gar nicht zwingend sind. Die Fahndungscomputer des Schengen-Informationssystems und des nationalen Fahndungssystems RIPOL arbeiten bereits seit August 2008 erfolgreich zusammen. Aber Schengen wird uns ohnehin keine grosse Erleichterung bringen – im Gegenteil.

“Das zur Abstimmung gelangende Ausweisgesetz dient der Sicherstellung der Reisefreiheit der Schweizerinnen und Schweizer” heisst es von offizieller Seite (sprich vom Eidgenössisches Justiz- und Polizeidepartement), als ob wir das Grundrecht der Reisefreiheit nicht schon besässen, sondern erst mit dem neuen biometrischen Reisepass erwerben würden. Mit Aussagen wie “Diese elektronischen oder biometrischen Pässe haben Standards zu erfüllen, die von der Internationalen Zivilluftfahrtorganisation (ICAO) verbindlich festgelegt wurden” wird suggeriert, dass die biometrischen Ausweise sicher und über alle Zweifel erhaben wären. Der Satz offenbart aber indirekt auch einen Affront gegen den Souverän und seine Selbstbestimmtheit. Müssen wir uns wirklich dem Diktat der EU und der USA einfach widerstandslos unterwerfen?

Man beachte dabei das kleine aber nicht minder wichtige Detail, dass ausgerechnet die ICAO die verbindlichen Standards festgelegt hat. Der Grund dafür ist, dass Fluggastinformationen (Passenger Name Records) in der EU 13 Jahre lang gespeichert und gemäss dem Flugpassagierdaten-Abkommen mit den USA gegenseitig austauscht werden. Mit einer elektronischen Erfassung (und Verifizierung) der Identitäten geht dies wesentlich effizienter und vermeintlich fehlerfreier. In den USA werden diese Fluggastdaten dann übrigens sogar bis zu 40 Jahre lang in einer zentralen Datenbank gespeichert. Auffällig ist, dass in den Dokumenten des Bundes zur Einführung von biometrischen Pässen immer wieder die Rede davon ist, dass die Schweiz Forderungen und Bedingungen der USA zu erfüllen habe.

Besonders undemokratisch wird die Angst vor den angeblichen Konsequenzen eines Neins mit unwahren Behauptungen geschürt:

“Bei einem Nein würde unter Berücksichtigung des Ergebnisses und der Gründe dafür geprüft, ob allenfalls eine neue referendumsfähige Vorlage ausgearbeitet werden kann. Der massgebende Termin für die Umsetzung der EG-Verordnung, der 1. März 2010, könnte auf keinen Fall eingehalten werden; die Schweiz könnte also eine Schengen-Verpflichtung nicht erfüllen. Sie müsste mit den andern Schengen-Staaten eine angemessene Lösung zur Weiterführung der Zusammenarbeit suchen. Findet sich innerhalb von 90 Tagen keine Lösung, käme es zur Beendigung der Assoziierungsabkommen von Schengen und Dublin. Die möglichen Auswirkungen für Reisen in die USA können heute nicht abgeschätzt werden.”

Zudem wird mit allen Mitteln versucht, die Risiken durch die unsichere Technologie zu verschweigen. Vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) gibt es dazu bislang keine Stellungnahme und es wird wohl auch nie eine geben, die auf die technischen Probleme eingehen würde. Man wird sich stattdessen auf irgendwelche anonymen Experten berufen, denen man später die ganze Schuld in die Schuhe schieben kann. Denn Schuldige wird es beim herrschenden Missbrauchspotenzial garantiert geben. Welche Vorkehrungen gegen Missbrauch getroffen werden und wie wirksam diese sind, wurde vom EJPD bislang auch nicht dargelegt, was mich nicht weiter erstaunt, denn sicherstellen kann man das mit der aktuellen Technologie nicht. Da werden auch Gesetze gegen das illegale Auslesen von RFID-Daten aus Ausweispapieren nichts helfen.

Dann wird sicher auch mit Nachdruck darauf hingewiesen werden, dass die Abgabe und Speicherung von weiteren biometrischen Merkmalen (DNA, Iris-Scan, etc.) im Ausweis “mit Ausnahme” des Fotos und zweier Fingerabdrücke (vorläufig) gar nicht vorgesehen ist und höchstens freiwillig sein werde (ursprünglich sollten auch die Fingerabdrücke freiwillig sein) und schliesslich würde überhaupt niemand dazu gezwungen. Warum aber die Umsetzung des Schengen-Abkommens bei Nichtvorhandensein des RFID-Chips in den Ausweisen verunmöglicht möglicht würde, darauf wird nicht eingegangen, weil es keinen solchen Grund gibt. Was hier versucht wird, ist die schleichende Konditionierung der Bürger durch Salamitaktik und Gewöhnungseffekt. Aber wieso sollte das die fried- und konsensliebenden Eidgenossen stören? Um es mit den Worten von Nationalrat Alec von Graffenried von den Grünen zu sagen: “Unsere Freiheit ist uns zu wichtig, als dass wir sie einem diffusen Sicherheitsbedürfnis opfern möchten”. Wohin das führt, wenn man die Kontroll-Freaks in der Regierung frei gewähren lässt, zeigt deutlich das Beispiel Grossbritanniens.

Geht Abstimmen!

Über die Gefahren von biometrischen Ausweisen im grösseren Zusammenhang und auch mit technischem Hintergrund öffentlich zu sprechen, bedeutet einen Tabubruch. Die öffentliche Diffamierung als paranoider Verschwörungstheoretiker stehen mir wahrscheinlich noch bevor, aber auch unbequeme Wahrheiten müssen einmal ausgesprochen werden.

Wer am 17. Mai 2009 an der Urne nicht NEIN stimmt, soll später nicht behaupten, er/sie hätte von nichts gewusst! Denn rückgängig machen lässt sich die Einführung von RFID-Chips in Personenausweisen nicht mehr. Jetzt haben wir die einmalige Möglichkeit, zu verhindern, dass wir und unsere Kinder künftig wie Rindviecher mit einer digitalen Hundemarke herumlaufen müssen. Deshalb: NEIN zu biometrischen Identitätskarten und Reisepässen!

Barack Obama und sein Kommunikationsteam haben der Welt gezeigt, wie sich das Internet für den Wahl- und Abstimmungskampf erfolgreich nutzen lässt. Die ersten beiden Unterstützergruppen haben sich bei Facebook schon formiert: Gruppe 1, Gruppe 2. Blogger und Sozial-Netzwerker vereinigt Euch!

Wer nähere Informationen zu den Problemen mit RFID-Chips vor allem auch in Personenausweisen möchte, schaut sich am besten einmal diese Videos an.

Informationen sind mehr als genug verfügbar

Weitere Beiträge zum Thema:

• Biometrischer Pass – Abstimmung im Mai 2009
• Biometrische Schweizer Pässe und Identitätskarten kommen vors Volk
• Referendum gegen Überwachungsstaat und Identitätsdiebstahl
• Bundesbeschluss vom 13.06.2008
• Ermüdungstaktik beim Abbau von Grundrechten

Links zu weiteren Informationsquellen:

• Freiheitskampagne.ch – Überparteiliches Komitee gegen Biometrische Schweizer Pässe und Identitätskarten
• Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Informationen zum Thema elektronische Pässe
• Virtuelles Datenschutzbüro – Ein gemeinsamer Service der Datenschutzinstitutionen in Deutschland
  
• Eidgenössische Bundesverwaltung: Chronologie zum Bundesbeschluss über biometrische Pässe und Reisedokumente
• Informationen zum Schweizer Pass der Eidg. Bundesverwaltung

Nur wer die technischen Mittel kennt, um seine Daten und somit auch seine Privatsphäre zu schützen, kann sein Recht darauf auch durchsetzen. Die Electronic Frontier Foundation (EFF) hat einen kostenlosen Informationsdienst für jedermann mit dem Projektnamen “Surveillance Self-Defense” (SSD) gestartet. Es ist ein kostenloses Archiv zu umfassenden Informationen über Security, Verschlüsselung und Data Mining. Hier wird gezeigt, wie man sich vor staatlicher Überwachung abschirmt. Leider gehen (für meinen Geschmack) nicht alle Beiträge genügend in die Tiefe. Wer sich jedoch eine Übersicht verschaffen will und den Einstieg in die Materie sucht, findet hier genügend Informationen und Links zu weiteren Informationen. Das EFF-Projekt ist eine ideale Ergänzung zu meinem Artikel “Sicher im Internet unterwegs“.