Ist die Nutzung von WhatsApp strafbar?

2 Kommentare 2.5.2018 Ralph Stahl / Admin

Um es gleich vorweg zu nehmen: im Prinzip ja. Denn Facebook, zu dem WhatsApp gehört und mit dem es technisch verbunden ist, ist als einer der schlimmsten „Datenkraken“ verschrien. Spätestens seit dem Skandal um die Firma Cambridge Analytica und den folgenden Daten-Pannen von Facebook sollte das jedem klar sein.

WhatsApp durchsucht also die Kontakte im Smartphone des Benutzers, ob die ihrerseits bei WhatsApp angemeldet sind. Das dient dem zunächst guten Zweck, dass man selbst gleich alle seine bekannten Kontakte im WhatsApp-Verzeichnis wiederfindet und mit ihnen sofort Kontakt aufnehmen kann – und zwar nicht über die Telefonnummer, sondern über den gespeicherten Namen. Man kann auch Gruppen aufbauen, worin dann alle alles von allen Mitgliedern lesen können. Sehr praktisch und bequem ist das – wenn da nicht ein Haken wäre, der dem geltenden Datenschutzrecht entgegenstehen würde [1] [2].

Dass die Kontakte in meinem Telefon stehen, ist noch okay. Dass sie das bei den meisten nicht tun, sondern bei Google oder anderen Diensten gelagert werden, ist im Grunde schon fragwürdig. Aber nun werden sie auch noch zu WhatsApp nach Kalifornien geschickt, ohne dass ich jemanden um seine nachweisbare Einwilligung gebeten habe. Und als Krönung bekommt sie nun auch noch Facebook – selbst wenn keiner meiner Kontakte bei Facebook ist! Und was dort damit gemacht wird, weiß außer Facebook niemand. „Big Data“ lässt grüßen.

Die Illegalität dieses Vorgehens in Deutschland und Europa ist nicht erst am 25. Mai 2018 eingetreten, wenn die neue Datenschutz-Grundverodnung (DSGVO) in Kraft tritt. So liest sich das auszugsweise bisher [1]:

„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“ (AG Bad Hersfeld, 15.05.2017 – F 120/17 EASO, Leitsatz 5)

Mit der neuen DSGVO wird das zum europäischen Recht ausgeweitet und Verstöße mit deutlich härteren Strafen belegt. Inwieweit sich das auf Privatpersonen auswirken wird, bleibt abzuwarten. Mit Sicherheit wird sich etwas ändern müssen. WhatsApp rudert schon ein Stück zurück [3], aber dieser zaghafte Versuch wirkt auf mich müde und offiziell verfügbar ist er auch noch nicht.

Natürlich kann ich es mir leicht machen. Ich deinstalliere WhatsApp und nutze nur noch alternative Dienste wie Telegram, Signal oder Threema. Das hat aber zur Folge, dass ich die Kommunikation zu den vielen in meinem Adressbuch, die ich bisher auch über WhatsApp erreichen kann, verliere. Denn die wenigsten sind zu einem Umstieg bereit – das Argument heißt immer noch: „Ich habe doch nichts zu verbergen“ und kaum jemand beschäftigt sich je damit. Genauso wie sich so viele geistig (und manchmal körperlich) bei Facebook oder anderen Diensten nackig machen und sich dann aufregen, dass das alles weltweit verbreitet wird…

Und aufgepasst: Das bisher Gesagte bezieht sich nur auf die private Nutzung von WhatsApp (und anderen mobilen Anwendungen)! In Unternehmen gibt es weitaus strengere Regeln [4]. Hier wird man sicher mit WhatsApp auf die Dauer nicht weiter kommen, da sind wohl eher kommerzielle Alternativen wie Threema Work gefragt.

Nachtrag 1: Hier verweise ich auf einen weiteren Artikel zum Thema, wie auch andere Android-Apps Daten an Facebook senden können.

Nachtrag 2: Hier erklärt Arno Welzel, warum WhatsApp wegen der seit kurzem eingeführten Werbung für ihn nicht tragbar ist und er es deswegen nicht nutzt. Das hat nicht unbedingt die oben genannte rechtliche Relevanz, sollte die Nutzer aber ebenso zum Nachdenken über der (Nicht-)Verwendung von WhatsApp bringen.

Quellen:

[1] eu-dsgvo.at/2017/07/28/whatsapp-illegal

[2] heise.de/newsticker/meldung/Thueringens-Datenschuetzer-Whatsapp-wird-meist-rechtswidrig-genutzt

[3] datenschutz-praxis.de/fachnews/whatsapp-neue-funktion-fuer-dsgvo

[4] it-daily.net/it-sicherheit/datenschutz/18477-whatsapp-cloud-dienste-business-apps-co-muss-dsgvo-konform-sein

Vor dem Lesen vernichten!

Hinterlasse einen Kommentar 6.3.2018 Ralph Stahl / Admin

Mit dem Datenschutz stimmt was nicht. Zumindest mit seiner geforderten Umsetzung auf Websites. Ich werde den Eindruck nicht los, dass die Leser und Benutzer von Websites zunehmend gezielt verunsichert werden sollen und die Gesetzgebung den Abmahnern in die Hände beziehungsweise in die Kasse spielen. Was als benutzerfreundliche einheitliche Regelung verkauft wird, bewirkt im Gegenteil zunehmende Verunsicherung.

Wozu soll es sonst gut sein, dass selbst kleine private Websites eine ausgeklügelte Datenschutzerklärung haben müssen, die laut § 13 TMG (Telemediengesetz) „zu Beginn des Nutzungsvorgangs“ [1] (also vor dem eigentlich Lesen!) über die Nebenwirkungen und Risiken der Website aufklären muss – in der Regel mit Worten, die kein Nur-Nutzer des Internets wirklich versteht. Da wird in aufpoppenden gelben Bannern gewarnt, dass vom Server Cookies gesendet werden, die – zum Glück – das „Nutzererlebnis“ verbessern sollen. Diese Banner nehmen auf dem Smartphone oft den halben Bildschirm ein und verbreiten… nein, nicht etwa Sicherheit, sondern die Angst, es gehe gleich was kaputt.

Natürlich ist es richtig zu wissen, was mit meinen Daten geschieht. Im täglichen Leben wird allzu viel Schindluder getrieben; dauernd bekomme ich Briefpost und Mails von irgendwelchen Leuten, die mir was andrehen wollen – woher haben die meine Adresse? Ach ja, ich stehe im Telefonbuch und habe ein paar Websites, klar. Ich muss also damit leben und will es ja auch, dass mich ein paar Leute finden. Dass ein Teil Müll dabei raus kommt, nehme ich inkauf. Auch der allseits verfluchte „Datenkrake“ Google ist hilfreich, er verbreitet meine Website und macht sie bekannter, und andersrum finde ich unendlich viel Wissen (und Halbwissen, auch das) durch die Suchmaschinen. Das Internet ist schon durchaus ein Segen!

Allseits bekannte und beliebte Social-Media-Plattformen außer in Maßen Google+ (ja, schon gut!) nutze ich nicht, denn dort wird es wirklich unkontrollierbar. Nicht umsonst wird überall geraten, diese in den Datenschutzerklärungen zwar unbedingt zu erwähnen, wenn sie auf der Website verlinkt werden, aber man kann eben nur auf deren eigene Datenschutzerklärungen verweisen – was mit den Daten dort wirklich gemacht wird, gehört wohl den am besten gehüteten Geheimnissen des Internets.

Ach ja – Facebook & Co. Millionen Nutzer ziehen sich dort täglich buchstäblich nackich aus, mit Foto und Film sogar. Ob das die gleichen sind, die sich dann besonders lautstark über Die Datengier der Suchmaschinen beschweren?

„Meine Daten gehören mir“, ruft man. Nein, tun sie nicht! Sie gehören allen, die sie greifen können. Ich selbst kann nur sehr begrenzt darauf Einfluss nehmen, wer das ist, egal was derjenige erklärt. Und ich selbst als Betreiber einer Website kann auch nur ein ehrliches Gesicht machen und versprechen, dass ich vertraulich mit Namen, Adressen und Inhalten umgehe und sie auf Wunsch auch wieder lösche. Aber kann ich das? Nein. Ob zum Beispiel der Webserver meines Providers dem Browser des Lesers einen Cookie schickt, den dieser dann speichert, kann ich weder verhindern noch selbigen anschließend entfernen. Von meiner Website finde ich etwa ein Dutzend Cookies im Firefox-Browser, die nach dem Löschen immer wieder auftauchen… Mir bleibt nur, darauf hinzuweisen.

Fazit: Lest nichts im Internet! Stecker raus, Handy aus. Macht keine Websites, wenn ihr nicht in Grund und Boden verklagt werden wollt! Nein, ich glaube, das ist nicht nötig. Nötig ist aber leider, sich ständig mit neuen Gesetzlichkeiten zu befassen und sich zu freuen, wenn man zufällig an Websites vorbeikommt, die selbige mal kurz und bündig und vor allem aktuell und sachlich richtig erklären. Ob das bisher gültige nationale Telemediengesetz in Teilen (§ 13) aufgehoben oder angepasst werden wird, bleibt abzuwarten. Hier [2] wird geschrieben, dass es 2018 durch die neue EU Datenschutz-Grundverordnung abgelöst werden wird. Die Verwirrung nimmt ihren Lauf…

Quellen:
[1] www.datenschutz.org/datenschutzerklaerung-website (§ 13 TMG)
[2] www.mein-datenschutzbeauftragter.de/eu-datenschutz-grundverordnung (EU DSGVO)

Warum wir keine kostenlosen Mailadressen nutzen sollten

Hinterlasse einen Kommentar 21.2.2018 Ralph Stahl / Admin

In diesem Artikel bei t3n wird sehr schön beschrieben, wie schädlich die Verwendung von kostenlosen Mailadressen sein kann und wie leicht und doch recht billig – also wörtlich preis-wert – es ist, es richtig zu machen.

Letztlich ist es doch so: Wer sich über den Datenkapitalismus aufregt – was gerade groß in Mode ist, häufig auch vollkommen zu Recht –, muss eigentlich auch konsequent sein und das eigene Verhalten überdenken, beziehungsweise ändern…

Ganz ähnlich verhält es sich in der digitalen Welt. Alternativen zu den kostenlosen E-Mail-Angeboten großer Plattformen sind ja da. Es gibt immer mehr Anbieter wie Posteo.de oder Mailbox.org, die ein Geschäftsmodell darauf aufbauen, E-Mail-Postfächer inklusive E-Mail-Adressen anzubieten – und zwar ohne nervige Werbung. Und ohne die dazugehörigen intransparenten Tracker, die im Hintergrund unser Onlineverhalten ausspionieren und dazu häufig mit den modernsten Sicherheits- und Verschlüsselungstechnologien und -standards arbeiten.
https://t3n.de/magazin/euro-fur-mehr-datensouveraenitaet-e-mail-provider-244367/

Abgesehen von den als Beispiel genannten Anbietern wie mailbox.org oder posteo.de sollte außerdem jeder, der über eine eigene Website verfügt, den Umstand nutzen, dass er damit auch in der Regel über hunderte Mailadressen verfügen und diese recht bequem verwalten kann, einschließlich Umleitungen, automatischen Abwesenheitsantworten, Platzhaltern (wie „catch all“) und so weiter. Und das kostet noch nicht mal was extra, denn den Webspace bezahlt man ja sowieso! Es ist bequemer als zusätzlich zur Website noch einen Provider wie vielleicht GMX zu nutzen und diesem seine persönlichen Daten zu geben – oder?

Nutzt man dann noch spezielle Mailprogramme auf PC und Mobilgeräten und nicht den Webzugang irgendwelcher Provider, ist alles perfekt.

Skype für Linux: Fehlanzeige

Hinterlasse einen Kommentar 1.11.2017 Ralph Stahl / Admin

Seit Jahren benutze ich Skype auf meinem Linux-Rechner mit Ubuntu mit dem eigenen proprietären (!) Client, der aber immer gepflegt wurde und sich brav in die Taskleiste einklinkte. Dann hat Microsoft Skype übernommen und versucht nun anscheinend zunehmend, „alles anders“ zu machen und riskiert dabei, die Nutzer mit Linux auszuschließen. Klar, alles was nicht Windows heißt, ist Microsoft ja immer schon ein Dorn im Auge.

Skypeforlinux lässt sich zwar problemlos installieren, startet dann aber mit einem leeren Fenster, das sich nicht beenden lässt, sondern nur töten (kill, pkill, xkill).

So bekommt man derzeit hier www.skype.com/en/get-skype/ nur noch die brandneue Version 8.9 (vorher 5.5, ein riesiger Sprung). Die läuft nach diversen Aussagen im Netz nicht mehr auf älteren AMD-Prozessoren, weil sie unbedingt bestimmte Befehle braucht. Das ist die Bedeutung von „proprietär“: ein Open-Source-Projekt käme mit so einer Einschränkung keinesfalls durch, auch nicht eins, das bewusst auf die breite Masse der Benutzer zielt. Microsoft, will Windows auf neuen PCs, sonst nichts.

Der Prozessor in meinem Linux-PC ist etwas älter, ein solider, sparsamer Dual-Core von AMD, mit dem Xubuntu bestens zurecht kommt, auch wenn einige Dicke Programme laufen. Skype war mir lieb, weil es einige andere nutzen, mit denen ich in Kontakt sein muss – aber zum Glück gibt es ja Alternativen.

Telegram ist so eine Alternative – mit guten Clients für alle stationären und mobilen Betriebssysteme, auch für Linux. Ich muss eben nur noch ein paar meiner Kontakte überzeugen… Für Ubuntu lässt es sich leicht installieren: wiki.ubuntuusers.de/Telegram/.

Browser: Mangelnde Anonymität trotz VPN

Hinterlasse einen Kommentar 29.6.2017 Ralph Stahl / Admin

Die Meldung ist schon etwas älter (2015), aber in Zeiten zunehmender Gier von Geheimdiensten und Staaten nach Überwachung vielleicht für den einen oder anderen doch ganz hilfreich. Über VPN ins Internet zu gehen und sich sicher zu glauben, ist eventuell ein Trugschluss.

Denn die Browser Mozilla Firefox und Google Chrome sind auf spezielle Nachfragen der Gegenstelle geschwätzig und verraten trotzdem die aktuelle IP-Adresse des Heimatanschlusses – was ja mit VPN eigentlich gerade vermieden werden soll.

Abhilfe:

Chrome: die Erweiterung WebRTC Block installieren
Firefox: in about:config den Schlüssel media.peerconnection.enabled einfach auf False setzen

Quelle:

www.heise.de/newsticker/meldung/Firefox-und-Chrome-verraten-IP-Adressen-trotz-VPN-2534438.html

BGH: Sicherheit vs. Persönlichkeitsrecht

Hinterlasse einen Kommentar 16.5.2017 Ralph Stahl / Admin

Üblicherweise gibt es strenge Regeln, welche Daten der Besucher einer Website gespeichert werden dürfen. Das muss dann in der sehr oft vernachlässigten Datenschutzerklärung genau beschrieben werden. Gerade die Sammelleidenschaft von Google & Co macht das schwierig, da nur die Suchmaschinen genau wissen, was genau sie speichern – die Webmastertools von Google lassen ahnen, welchen Umfang das hat.

Sicher auch als Folge des jüngsten Cyber-Angriffs („Wanna Cry“) hat der Bundesgerichtshof nun ein Urteil gefällt, das sogar das sonst so hoch gehaltene Persönlichkeitsrecht an die zweite Stelle rückt. Künftig (ab wann genau?) darf die IP-Adresse des Besuchers gespeichert werden, sofern das die Sicherheit der besuchten Website erhöht. Allerdings ist das eine Eintscheidung im Einzelfall – nicht jeder Betreiber darf also nach Herzenslust IP-Adressen speichern.

Allerdings gibt es ja schon immer die berechtigte Diskussion, ob man durch die IP-Adresse tatsächlich den konkreten Nutzer ermitteln kann. Im privaten Haushalt geht das heutzutage vermutlich, zumal die dynamisch vergebenen Adressen über viele Monate konstant bleiben. zumindest hat man dann schonmal den konkreten Haushalt am Haken. In Firmennetzwerken ist das nach wie vor unmöglich, denn die öffentliche IP-Adresse ist eben die des Anschlusses ungeachtet der Technologie im Inneren – hunderte Nutzer kann man von außen nicht auseinander halten.

Abgesehen davon werden sich „Die Bösen“ sicher kaum an Regeln halten und natürlich Techniken wie das Tor-Netzwerk oder andere Zaubertricks nutzen, um ihr Werk zu tarnen. Man wird sehen, in wie weit dieses Urteil Erfolg haben wird. Abgesehen davon, dass die Fehler immer noch „vorm Bildschirm sitzen“ – ich erinnere an das gedankenlose Anklicken von Links in Emails – oder von Entscheidern und Administratoren verursacht werden, die zum Teil heute noch Windows XP betreiben und neue Systeme und Updates einfach nicht nutzen wollen.

Quelle: Tagesschau vom 16.5.2017

Das Aktenzeichen des BGH: Az. VI ZR 135/13

PHP: Ein erweiterter SOAP-Server

Hinterlasse einen Kommentar 6.4.2017 Ralph Stahl / Admin

Ich möchte einen Lösungsweg beschreiben, der aus meiner praktischen Arbeit entstanden ist und so nicht im Internet in einer geschlossenen Dokumentation zu finden war. Da es kein Betriebsgeheimnis ist, hoffe ich ein gutes Werk zu tun.

Normalerweise besteht ein SOAP-Server in PHP im Kern aus drei Zeilen:

<?php
try {
     $server = new SoapServer($meine_wsdl_url);
     $server->setClass('meine_klasse_mit_funktionen');
     $server->handle();
} catch(SoapFault $e) {
     echo "Fehler SOAP-Server: $e";
}

class meine_klasse_mit_funktionen {

    public function f1($object1) {
        return $object1->wert1;
        // wert1 wird vom Client der Gegenstelle empfangen
    }
}
?>

Zum eigentlichen Server, der mit handle() endet, kommt eine Klasse ‚meine_klasse_mit_funktionen‘, die die benötigten Funktionen enthält, wie sie auch im ggf. vorhandenen WSDL-File definiert sind und die nicht instantiiert wird. Die Funktionen wie f1($object1) werden vom Client der Gegenstelle aufgerufen, was hier nicht behandelt werden soll.

Mein Problem war nun, dass ich noch nie was mit SOAP zu tun hatte und außerdem der Auftraggeber seine diesbezüglichen Schnittstellen nicht für den Anfänger dokumentiert hat. Besonders einige Eigenheiten des verlangten XML-Headers machten mir Probleme. Also musste ich nach einer Lösung dafür suchen, wie ich die gesamte Nachricht vom Client des Auftraggebers zunächst mal sichtbar machen konnte. Ich sah immer nur das Ergebnis (oder besser gesagt keins, denn es funktionierte lange nichts…), aber „dazwischen“ konnte ich nichts sehen.

Die Lösung ist recht einfach, war aber für mich eher ein Zufallsfund. Mittels

$xmlstring = file_get_contents('php://input');

hat man die gesamte empfangene Zeichenkette in der Variable $xmlstring. Diese kann ich in eine Date test.xml schreiben und vom Opera-Browser aufrufen. Nebenbei: Firefox ist dafür ungeeignet, denn der interpretiert die vorkommenden Namespaces als nicht erkennbar und schreibt sie nicht hin! Jetzt konnte ich zumindest schon mal sehen, was bei mir ankommt.

Nun war es noch nötig, einzelne Attribute und deren Werte auszulesen. Eine Hürde dabei war, dass alle Attribute an verschiedene Namespaces geknüpft sind. Das verhindert nämlich das einfache Auslesen als einfaches XML-Element, wie es zum Beispiel hier gemacht wird. Meine Lösung sieht schematisch wie folgt aus:

$xml = new SimpleXMLElement($xmlstring);
$xml->registerXPathNamespace('wsse', $mein_security_namespace);
$attribut_wert = $xml->xpath('//wsse:username');

Damit kann ich auf jedes Element samt Namespace zugreifen und vielleicht eine Abfrage der Anmeldedaten realisieren.

Insgesamt kommt dabei folgendes als grobe Vorlage heraus:

<?php

$xmlstring = file_get_contents('php://input');

$xml = new SimpleXMLElement($xmlstring);
$xml->registerXPathNamespace('wsse', $mein_security_namespace);
$attribut_wert = $xml->xpath('//wsse:username');

if('MaxMustermann' == $attribut_wert) {

  try {
    $server = new SoapServer($meine_wsdl_url);
    $server->setClass('meine_klasse_mit_funktionen');
    $server->handle();
  } catch(SoapFault $e) {
    echo "Fehler SOAP-Server: $e";
  }
} // if

class meine_klasse_mit_funktionen {
  public function f1($object1) {
    return $object1->wert1;
    // wert1 wird vom Client der Gegenstelle empfangen    
  }
}
?>

Ich hoffe, es kann dem einen oder anderen helfen. Kommentare sind ausdrücklich erwünscht 🙂 !

PHP: XML parsen mit mehreren Namespaces

Link Hinterlasse einen Kommentar 8.3.2017 Ralph Stahl / Admin

In einem großen PHP-Projekt hatte ich die Aufgabe, einen per SOAP erhaltenen Stream (XML) zu parsen und Informationen raus zu holen. Die Struktur dieser Daten war recht kompliziert und mit PHP-Bordmitteln nicht ohne weiteres zu machen.

Hier habe ich dann gefunden, wie es funktionieren kann:

XPath in SimpleXML

Kann man Social Bots erkennen?

Hinterlasse einen Kommentar 2.3.2017 Ralph Stahl / Admin

Immer wieder ist von Social Bots die Rede. Also von Computerprogrammen, die als Verfasser oder Kommentatoren in den „Sozialen Medien“ agieren und dort Botschaften verbreiten oder unterstützen, die ein bestimmtes Ziel haben – Wahlbeeinflussung oder Ausländerfeindlichkeit zum Beispiel.

Mir scheint übrigens, auch in den Newsgroups gibt es solche Bots, die ich hinter Beiträgen mit meist abstrusem Inhalt vermute und die gern als „Trolle gefüttert“ werden.

Solche Bots zu erkennen und von echten schreibenden Menschen zu unterscheiden, dürfte für den Leser keine leichte Übung sein. Zumindest dann, wenn nicht ganz offensichtlicher Unfug geschrieben wird (obwohl, auch manche Menschen schreiben Unfug…). Im folgenden Artikel wird kurz versucht zu erklären, wie man Social Bots erkennen kann:

t3n.de/news/bundestagswahl-2017-social-bots-entlarven-800024/

Für mich heißt die Frage eigentlich nicht, wie ich solche Bots erkennen kann, sondern ob. Denn ein Profil heißt ja nicht unbedingt „IchBinEinBot“, sondern „Erika Mustermann“, vielleicht sogar mit einem geklauten Bild einer Frau aus dem Volk. Vielleicht heißt es auch „DonaldJTrump“ – am Inhalt kann man es also auch nicht unbedingt festmachen.

Ist es überhaupt wichtig, solche Techniken zu erkennen? Für mich als Person eher nicht. Aber gesamtgesellschaftlich scheint diese relativ neue Masche ja Auswirkungen zu haben, zumindest ahnt man bereits Manipulationen von Wahlen oder einfach nur Stimmungen für oder gegen etwas oder jemanden. Und da kann es schon gefährlich werden!

Ich werde weiter nach passenden Artikeln suchen, das Thema interessiert mich. Ich selbst bin nicht besonders aktiv in den sozialen Medien, weder Facebook noch Twitter sind mein Ding. Lediglich Google+ gibt mir immer mal Lektüre, über die ich gelegentlich auch am Zweifeln bin…

Blog

Abhilfe:

Quelle: