Linkgebliebenes 30

Pillboxie: Digitale Pillendose mit Leck

Wenig bis gar keine Aufmerksamkeit widmete ich der Kategorie Medizin. Nun aber doch, da einige der Tiere im Haushalt ordentlich mit Medikamenten versorgt werden müssen. Um nicht durcheinander zu geraten, beschaffte ich mir eine digitale Pillendose. Pillboxie heißt die App und ist so nützlich wie einfach. Hat aber auch einen Haken.

Vor allem geht es mir darum, die Medikamente für die Tiere unterscheiden zu können. Also habe ich jeden Nager in Pillboxie als Patienten angelegt, das schafft schon einmal Übersicht, da ein gute Auswahl an Bildern für Tabletten, Pillen, Tropfen und andere Verabreichungsarten enthalten sind. Wichtiger ist aber das Notizfeld zum Verwendungszweck und der Dosierung, denn gerade bei den überaus empfindlichen Nagetieren bedeutet eine unbeabsichtigte Überdosierung leider allzu oft das Todesurteil. Pillboxie trennt Patienten, Medikamente und Dosierung übersichtlicher voneinander und macht für mich damit die Verabreichung der richtigen Medikamente an die kleinen Patienten leichter und sicherer. Die zusätzliche Erinnerungsfunktion, die obendrein tatsächlichen Pillendosen nachempfunden ist, funktioniert zuverlässig.

Nun sind Art oder Gattung der Patienten Pillboxie glücklicherweise gleich, sofern es sich dabei um Menschen handelt, darf der Datenschutz aber nicht unter den Tisch fallen. Pillboxie bietet zwar reichlich Einstellungen, um den Zugriff auf die Patienten- und Medikamentendaten sowie die Verabreichungshistorie über die GUI einzuschränken. Eine PIN-Eingabe kann als obligatorisch eingestellt werden, die graphische Oberfläche ist dann auch erst einmal vor unbedarften Zugriffen sicher. Genauso bietet Pillboxie einen Datenexporte an, bei dem sensible Daten ausgespart werden, sofern dies gewünscht ist. Dennoch täuscht dies über wichtige Sicherheitsaspekte hinweg, bei denen es bedauerlicherweise nicht mehr so gut aussieht.

Ein Ausrufezeichen ist hinter der dürftigen Absicherung der Daten auf dem Speicher des iOS-Gerätes selbst zu machen. Alle Daten liegen nicht in verschlüsselter Form auf dem Gerät, sie sind lediglich in einer Datenbank abgelegt, die keinerlei Zugriffsbeschränkungen unterliegt*. Damit erfüllt Pillboxie leider nicht die für professionelle Arbeit nötigen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten. So juristisch sich das anhört, es muss gesagt werden, dass sich nach meinem Kenntnisstand alle Benutzerinnen und Benutzer im Klaren sein müssen, dass sämtliche gespeicherten Daten von Pillboxie auch für Laien mit nur geringem Aufwand zugänglich sein können.

Die App ist ansonsten eine verlockende, aber unter Datenschutzaspekten nicht zu empfehlende Anwendung. Für meine Zwecke ist dies weit weniger problematisch, da ich meinen tierischen Patienten zwar eine Vielzahl an Rechten zugestehe, aber keinen Sinn darin erkenne, ihre medizinischen Daten als hochsensibel einzuschätzen. Bei Menschen ist das tatsächlich mal ganz anders und sollte vor dem Kauf dementsprechend berücksichtigt werden.

* Nach heutigem Stand gilt für Version 2.6: Im Detail ist es eine übersichtliche SQLite-Datenbank, die in keinster Weise zugriffsbeschränkt ist oder anonymisierte oder codierte Datensätze enthält. Gängige Dateimanager für iOS-Geräte und ein SQL-Browser reichen bei direktem Zugriff auf das Gerät völlig aus, um alle Daten lesen, schreiben oder anderweitig verarbeiten zu können.

Google Transparency Report

Es war nur eine Randnotiz gegen Ende des Podcasts zur netzpolitischen USA-Reise von Wissenschaftlern, Netzaktivisten und Journalisten. Kurz und knapp riss Anne Roth, die bedauerlicherweise schon reichlich Erfahrungen mit deutschen Ermittlungsbehörden und deren überzogenen, kruden, skurrilen und sinnlosen Methoden sammeln musste, das Thema an, dass Google einen Transparency Report veröffentlicht.

Weiterlesen

Linkgebliebenes 4

Heute gibt es eine Warnung, warum alte Liebe in Sachen Diablo 3 schmerzhaft sein kann. Der Kampf ums Urheberrecht geht unvermeidlich eine Runde weiter – jetzt plakativ mit Eingeweiden. Wie Innovation im Internet auf Touren gebracht wird. Wenn Gezwitscher zur Überwachung führt und wie dies verhindert werden kann. Eine analoge Hochzeit der Kopimisten darf auch nicht fehlen. Und ab dafür. Weiterlesen

anybeat schließt

Anybeat ist nicht mehr, besser, wird nicht mehr lange in der bekannten Form sein. Relativ kurzfristig wurde dies angekündigt, denn nach der Mail vom 10.05. blieben den Userinnen und Usern gerade einmal zwei Wochen, um eventuell eigene Daten und Kontakte zu sichern oder neue Netzwerke zu finden. Zu den Hintergründen bleibt anybeat vage:

It is therefore bittersweet for us to announce that Anybeat is getting purchased by another company, that will be repurposing it to address a different type of community, and will not be operating Anybeat as is.

Mich kümmert das Schicksal anybeats eigentlich reichlich wenig, dazu hatte ich keinen Nutzen gefunden für dieses soziale Netzwerk, das eine Spielwiese zwischen dem hektischen, flüchtigen Twitter und dem Leviathan Facebook sein wollte. Die Mail selbst rief mir anybeat erst wieder ins Gedächtnis. Das mag einer der Gründe für den Verkauf der Community an die unbekannten Firma sein.

Damit wären wir beim eigentlich interessanten Aspekt dieses Verkaufs, der aufgrund der Privacy Policy auch die Weitergabe aller nutzerbezogenen Daten umfasst:

Business Transfers: In some cases, we may choose to buy or sell assets. In these types of transactions, customer information is typically one of the business assets that are transferred. Moreover, if Company, or substantially all of its assets were acquired, or in the unlikely event that Company goes out of business or enters bankruptcy, customer information would be one of the assets that is transferred or acquired by a third party. You acknowledge that such transfers may occur, and that any acquirer of Company may continue to use your Personal Information as set forth in this policy.

Grundsätzlich müssen alle Nutzerinnen und Nutzer bei kostenlosen Diensten im Internet von einer indirekten Bezahlung in Form von personenbezogenen Daten ausgehen. Soweit das heute vorauszusetzende Grundverständnis der digitalen Geschäftsmodelle. Insofern handelt anybeat beim legitimen Verkauf – was auch sonst, sie sind nicht gezwungen, den Dienst bis in alle Ewigkeit mit Verlusten zu fahren – im Rahmen der eigenen Richtlinien. Dennoch wäre bei einem Dienst, der gerade auch wegen seiner Anonymität in der Community genutzt wurde, besser beraten gewesen, mehr Transparenz bei der Ankündigung an den Tag zu legen.

So bleibt dann aber nur weiter der Hinweis, dass Nutzerinnen und Nutzer immer auch im Hinterkopf behalten sollten, welche Daten und wie viel davon sie preisgeben wollen, wenn sie sich bei einem neuen Dienst anmelden. Bei großen Playern wie Twitter oder Facebook droht weniger die Gefahr des kompletten Verkaufs des Dienstes, aber doch auch dort wird die Nutzung bekanntlich bezahlt. Die Währung ist dann nur eine andere – die eigenen Informationen, Interessen, das Nutzungsverhalten und die Kontakte. Gerade diejenigen, die nicht sonderlich freigiebig mit ihren Daten umgehen oder gar eine eigene Parallelidentität für Testzwecke erschaffen, werden vor der allzu leichten Preisgabe ihrer Informationen gefeit sein. Anonymität oder nur Pseudonymität bleiben eine probates Mittel, um in der digitalen Sphäre ein wenig Kontrolle über eigene Informationen zu behalten.

Passwortsicherheit (5): Here be smaller mathematical dragons.

Wie also berechnet sich die Stärke des eigenen Passworts? Dazu bedarf es basaler Mathematikkenntnisse, denn die Frage lautet schlicht: Wie viele mögliche Kombinationen muss ein Brute-Force-Angriff auf mein Passwort maximal durchspielen, um das Passwort zu knacken? Die Formel zur Berechnung in sprachlicher Form sieht so aus:

Die Länge des Passworts ist dabei ein bekannte Zahl, die Anzahl der Zeichen prinzipiell auch. Dies aber nur, da wir das Passwort ja kennen. Angreifer wissen diese nicht, weshalb sie potenziell mehr Zeichen abfragen müssen. Die möglichen Zeichen lassen sich etwa wie hier gruppieren, sodass vier Gruppen anfallen, die einen Großteil der Passwörter ausmachen: Kleinbuchstaben (26 Zeichen), Großbuchstaben (26 Buchstaben), Zahlen (10 Zeichen) und Sonderzeichen (34 übliche Sonderzeichen*).

Wenn wir nun ein Passwort annehmen, das nur aus Kleinbuchstaben besteht und vier Zeichen lang ist, ergibt das eine Anzahl der möglichen Kombinationen von:

Das klingt doch schon nicht schlecht. Das ist doch jede Menge Holz, oder nicht? Für menschliche Maßstäbe vielleicht, aber es bringt nichts, wenn man keinen Vergleichswert hat. Also nehmen wir mal an, dass Passwort habe eine Länge von zehn Zeichen.

Wesentlich mehr, aber wir können noch immer nicht sagen, wie sicher es genau ist, denn wir haben bisher eine Variable der Attacke nicht berücksichtigt. Das wäre die Geschwindigkeit, mit der ein Angreifer diese Kombinationen durchspielen kann. Dabei sind viele Faktoren zu berücksichtigen, die hier nicht alle genannt werden können. Im oben erwähnten Wikipedia-Artikel wird von 1 Milliarde Versuchen pro Sekunde ausgegangen, wobei dieser Wert von der Rechenleistung eines Standard-PCs ausgeht. Wird beispielsweise über ein Netzwerk, also auch das Internet angegriffen, ist nicht nur die Rechenleistung relevant, auch die Verbindungsgeschwindigkeit ist von Bedeutung. Es ist also situationsabhängig, um aber die Sicherheit eines Passwortes zu illustrieren, gehen wir von 1 Milliarde Versuchen in der Sekunde aus. Wie lange würde es dauern, die beiden Passwörter zu knacken?**

Das kurze Passwort ist unter den gegebenen Voraussetzungen in dem Bruchteil einer Sekunde geknackt, es wäre für Menschen nicht einmal wirklich spürbar, einen Unterschied zwischen der Berechnung der Attacke und ihrem Ergebnis wahrzunehmen. Beim längeren Passwort braucht es schon etwas länger, doch sind 39 Stunden nicht wirklich ein Wert, ab dem man von einem sicheren Passwort sprechen kann.

Ab wann ein Passwort sicher ist, kann deshalb nicht pauschal festgelegt werden. Es hängt davon ab, wie schnell Rechnerleistungen und Verbindungsgeschwindigkeiten sind – die im Laufe der Zeit zunehmen, sodass Passwörter mit der Zeit schwächer werden – und auch die Wichtigkeit der zu schützenden Informationen ist ausschlaggebend. Für den Hausgebrauch nehme ich für meine wichtigsten Daten immer an, dass sie nur wichtig sind, solange ich lebe. Mein Richtwert ist dann eine Passwortstärke, die bei aktuellem technischen Stand etwa die durchschnittle Lebenszeit eines Menschen benötigt, um durch Brute-Force-Angriffe geknackt werden zu können. Aber das muss jeder oder jede mit sich selbst ausmachen, weitere Informationen und Tabellen zur Passwortsicherheit gibt es beispielsweise hier oder auch hier.

Ein Frage ist aber noch offen: Warum ist es wichtiger, ein langes Passwort zu haben als eines, das aus möglichst vielen Zeichen besteht? Das obige Beispiel zeigt deutlich, dass die Länge des Passworts zu exponentiell steigenden Kombinationsmöglichkeiten führt, sodass eine einfache Empfehlung zur Passwortsicherheit, wie dies auch beim hier verlinkten XKCD-Comic der Fall ist, zu langen Passwörtern raten sollte. Die Anzahl der möglichen Zeichen ist nicht irrelevant, aber im Vergleich zu der gewonnenen Sicherheit bei der Verlängerung eines Passworts ist sie schwindend gering.

* Es gibt mehr, aber die gebräuchlichsten werden hiermit abgedeckt. ** Eine Stunde hat 3600 Sekunden.

Passwörter und Kryptologie

Hin und wieder habe ich an dieser Stelle schon Webapps und Desktop-Software (hier, hier, hier oder hier) angesprochen, die bei mir nahezu täglich zum Einsatz kommen und nicht mehr aus dem Alltag und meiner Organisation wegzudenken sind. Vor allem kam ich auf Anwendungen zur Automatisierung zu sprechen, ich will ab heute nicht nur über diese direkten Helferlein und Lastesel sprechen. Deshalb der Auftakt zu einer mehrteiligen Serie zur Passwortsicherheit. Passwörter brauche ich für eigentlich alle dieser Anwendungen, vor allem die Webapps. Warum aber habe ich Passwörter, die ich nicht kenne, die ich aber jederzeit und überall erstellen kann? Weiterlesen

duckduckgo hat es tatsächlich geschafft…

…ich nutze Google nicht mehr als Suchmaschine meiner Wahl. Mir ist es gar nicht aufgefallen, bis ich heute mal meine Browser-Chronik der letzten fünf Tage durchforstete. Eindeutiger kann es nicht mehr sein, Google war mit Suchanfragen nicht mehr vorzufinden. Das hat bislang keine Suchmaschine geschafft. Dabei hat duckduckgo eigentlich nur eines richtiggemacht: Ich finde dort schnell das, was ich suche*. Ohne viel Ablenkung. Weiterlesen