News

Xerox-Vortrag im WDR ZeitZeichen

Ich freue mich, dass mein Xerox-Vortrag zum 31. Chaos Communication Congress es in einen ZeitZeichen-Beitrag des WDR geschafft hat, und zwar gleich mehrmals! :-)

ZeitZeichen, so Wikipedia, „ist eine tägliche Sendung im Radio des Westdeutschen Rundfunks (WDR), die historische Ereignisse und bedeutende Personen der Geschichte in Form eines rund 15-minütigen Features vorstellt.“

Das ZeitZeichen, um das es hier geht, widmet sich dem Chaos Computer Club, der heute vor 35 Jahren gegründet wurde. Es bringt nicht nur ein paar Anekdötchen aus der Anfangszeit des CCC, sondern nähert sich auch einigen der Thematiken, die vom CCC angefasst werden, wie etwa der Vorratsdatenspeicherung oder den Enthüllungen um Edward Snowden. Unbedingt hörenswert, vielleicht hat ja einer von euch sogar Lust, sich zu engagieren.

Hier kann man den Beitrag anhören. Mein Vortrag dient als Klammer direkt am Anfang und kurz vor dem Ende. Danke an diejenigen, die mir bescheidgesagt haben!

Xerox-Saga in den Top Ten der "Initiative Nachrichtenaufklärung"

Die Initiative Nachrichtenaufklärung (INA) ist ein Zusammenschluss von Medienwissenschaftlern und Journalisten, der die Öffentlichkeit auf Themen und Nachrichten aufmerksam machen will, die für einen Großteil der Bevölkerung bedeutend sind, aber trotz ihrer Bedeutung von den deutschen Massenmedien insgesamt vernachlässigt werden (Nominierungskriterien).

Jedes Jahr veröffentlicht die INA zehn solcher Themen, die „Top 10“. Die Xerox-Saga ist heute in die „Top 10“ des Jahres 2016 aufgenommen worden.

Ich freue mich sehr darüber! Danke!

Interessant an der ganzen Sache war nämlich wirklich, dass damals – für mich gefühlt – 99% der ganzen Presseresonanz aus dem Ausland kamen, insbesondere aus dem amerikanischen Raum (löbliche Ausnahmen: SpiegelOnline, Heise und noch einige wenige andere). Verteidigend muss man allerdings anmerken, dass zum gleichen Zeitpunkt die NSA-Affäre hochkochte.

Beim Deutschlandfunk gibt es schon eine Webseite, auf der die Themen kurz vorgestellt werden, die aber insgesamt nicht sooo materialbehaftet ist. Sobald Inhalte dazu auf den Webseiten der INA erscheinen, liefere ich diese nach.

Update: Hier nun der Bericht der INA zur Xerox-Saga und hier auch die gesamten Top 10.

BSI überarbeitet Richtlinie RESISCAN, verbietet JBIG2

Im Nachgang zur Xerox-Saga und meinem 31C3-Vortrag überarbeitet das Bundesamt für Sicherheit in der Informationstechnik seine Richtlinie zum „Ersetzenden Scannen“ (= Rechtssicheres Scannen von Dokumenten unter Vernichtung der Originale). Vorab ist gestern einer der Kernpunkte der Überarbeitung auf der RESISCAN-Webseite des BSI erschienen. Ich zitiere:

Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:

  • Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden.
  • Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
  • Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ - Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte „Soft Pattern Matching“ DARF NICHT eingesetzt werden.

[…] Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen.

Pattern Matching & Substitution ist die Standardvorgehensweise bei lossy JBIG2, und Soft Pattern Matching die bei lossless JBIG2 (Infos hier oder in den Veröffentlichungen von Paul Howard et al.1)). Es werden also sowohl die verlustfreie, als auch die verlustbehaftete Variante des verbreiteten JBIG2-Formats „verboten“. Im JBIG2-Standard heißt das ganze „Symbol Matching“.

Den ein oder anderen Leser mag es überraschen, dass auch Seiten, die mit lossless JBIG2 komprimiert wurden, nun plötzlich nicht mehr rechtssicher sein sollen. Immerhin ist es doch schon etwas wert, wenn mittels lossless JBIG2 sichergestellt ist, dass sich die Bilddaten nicht verändern. Die Krux liegt hier in der rechtlichen Praxis:

1)
vgl. z.B. Howard, P.G.; Kossentini, F.; Martins, B.; Forchhammer, S.; Rucklidge, W.J., „The emerging JBIG2 standard“, IEEE Transactions on Circuits and Systems for Video Technology, vol.8, no.7, pp.838,848, Nov 1998, doi: 10.1109/76.735380.

Ist Ihr Unternehmen vom Xerox Scanning-Bug betroffen?

Bei mir melden sich gerade immer mehr Unternehmen, die sich fragen, ob sie erhebliche Probleme haben. Manche sind sich auch schon sicher, dass sie Probleme haben, teils in sicherheitskritischen Tätigkeitsfeldern. Alle haben – verständlicherweise – die Angst vor Publicity gemeinsam. Betroffene Unternehmen haben in der Regel drei Ziele:

  1. Sie wollen das Problem lösen, nach Möglichkeit rückwirkend
  2. Sie wollen keine Publicity, bei vielen Angestellten nach Möglichkeit nicht einmal intern
  3. Sie wollen den Anspruch auf Schadenersatz beibehalten, müssen also aufpassen, nicht im Überschwang Beweismittel für die Fehlfunktion zu vernichten.

Diese Ziele widersprechen teilweise einander; auch große Unternehmen sind nicht gefeit vor Anfängerfehlern. Darum pauschal: Jeder, der sich bei mir meldet, um überhaupt erst einmal die Lage einzuschätzen, kann sich darauf verlassen, dass ich seine Identität nicht preisgebe. Das habe ich über die ganze Angelegenheit so gehandhabt, und damit höre ich jetzt auch nicht auf. Kontaktdaten stehen im Impressum.