IT-Sicherheit

Spekulativer Handel mit Sicherheitsrisiken im Internet

Handel mit RisikenDas Internet ist durch die hohe Vernetzung der Infrastruktur-Komponenten von Wirtschaft und öffentlicher Verwaltung und nicht zuletzt durch die Unausgereiftheit der eingesetzten Technologien zu einem sicherheitskritischen Element unserer Gesellschaft geworden. Die Sicherheitsrisiken durch Attacken auf Zahlungssysteme, Energieversorger oder Verkehrsleitsysteme durch die unterschiedlichsten Interessengruppen (Hacker, Cyberkriminelle, Spionagedienste, Terroristen oder Militär), wie sie zunehmend an der Tagesordnung sind, bedrohen die Funktionsfähigkeit der Informationsgesellschaft. Die informationsgesteuerte Kriegsführung erfolgt über das Internet. Deshalb sind Unternehmen und Behörden an einem Frühwarnsystem interessiert, das ihnen hilft, Bedrohungen rechtzeitig zu erkennen, um in nützlicher Frist mit geeigneten Mitteln darauf reagieren zu können.

Die Zukunft vorauszusagen, war schon immer ein Traum vieler Menschen. So wurden schon die verschiedensten Verfahren entwickelt, um mit Hilfe meist statistischer Methoden aus den Daten der Vergangenheit die nahe Zukunft extrapolieren zu können. Auch aus Befragungen werden Rückschlüsse auf Trends und Prognosen abgeleitet. Vor allem die Befragung von „Experten“ ist eine bei Meinungs- und Trendforschern besonders beliebte Methode. Durch den Handel mit solchen Prognosen erhofft man sich besonders viel Erfolg. Im „Prediction Market“ für IT-Sicherheitsprobleme sollen Anteile an Einschätzung der Bedrohungslage im Internet wie Optionen an der Börse gehandelt werden. Aus dem Handel mit diesen Risikozertifikaten resultiert dann ein Kurs und dieser soll ein Indiz für die Wahrscheinlichkeit sein, dass die Prognose richtig ist. Voraussetzung ist, dass es sich um Hypothesen mit potenziell strafrechtlich relevanten Konsequenzen handelt. Angeblich soll die Treffsicherheit von solchen Prognosebörsen bestechend sein.

Doch was so verrückt klingt, ist es auch. Für mich sieht das sehr nach Wahrsagerei und einem Wettgeschäft mit (selbsterfüllenden) Prophezeiungen aus. Wenn sich dann auch noch die Übeltäter selber unter die Prognose-Börsianer mischen und den Handel mit ihrem Insiderwissen manipulieren, ist das Chaos perfekt. Schliesslich gibt es wahrscheinlich kaum Experten mit mehr Erfahrung als die Urheber von Sicherheitsbedrohungen selbst. Eine solch unausgereifte Prognoselösung kann nur aus Absurdistan stammen. Ein bisschen erinnert mich das Ganze an den realen Börsenhandel und die Rating-Agenturen, die mit ihren Einschätzungen, Bewertungen und Prognosen den Markt in nicht selten höchst krimineller Art und Weise manipulieren.

Wie wir täglich ausspioniert werden

Ich will Deine Daten!Sie erfreuen sich grosser Beliebtheit: Apps für iPhone, Android, MySpace und Facebook sowie Addons und Plugins für Firefox, Thunderbird, Internet Explorer und Opera. Sie bieten oft ganz nützliche Dienste und dies meist zu günstigen Preisen oder sogar kostenlos. Doch die Gefahr, die von diesen Softwarezusätzen ausgeht, ist den meisten Nutzern überhaupt nicht bewusst. Diese kleinen Softwareerweiterungen können in der Regel tun und lassen, was sie selber gerade möchten oder was ihnen ihr Programmierer aufgetragen hat. Dazu gehört auch das Ausspionieren und Verschicken von persönlichen Daten. Kein Virusscanner und keine Firewall können dies verhindern, da die Spione im Kontext ihre Wirtes laufen, der prinzipiell über die entsprechenden Berechtigungen zur Kommunikation verfügt. Auf Smartphones ist Sicherheitssoftware ohnehin Mangelware und auch wenn es sie für alle Zwecke und Geräte gäbe, wäre ihre Konfiguration einem Otto Normalverbrauchern nicht zuzumuten.

Datenschutz existiert de facto nur auf dem Papier. Die Praxis hingegen sieht sehr übel aus. Was technisch möglich ist und jemandem einen Nutzen verspricht, das wird auch gemacht – ganz ungeachtet irgendwelcher Gesetze, denn technische Mängel lassen sich nicht durch Gesetzesparagraphen schliessen. Wo neben begehrenswerten Daten auch eine Internetverbindung vorhanden ist, werden auch Apps, Plugins und Addons entwickelt, mit denen diese Daten abgesaugt werden. Das Ganze verpackt man in lustige Spiele und nützliche Anwendungen oder sogar in angebliche Sicherheitserweiterungen. Während diese ihren Dienst tun, sammeln sie nebenbei im Hintergrund unbemerkt Daten und schicken sie an ihren Heim-Server. Wie bei Apples iTunes wird der Benutzer bei der Installation manchmal sogar in unverschämter Weise dazu genötigt, solchem Treiben in den allgemeinen Lizenz- und Nutzungsbestimmungen zuzustimmen. Nur ganz wenige machen sich die Mühe, die meist unendlich langen, kompliziert formulierten und bewusst schlecht lesbar angezeigten Texte zu lesen, und noch weniger verstehen diese auch wirklich. Privatsphäre ist zur Handelsware geworden und Betroffenen haben meist keine Ahnung davon.

Continue reading

MythBusters dürfen RFID-Hack nicht zeigen

RFID ChipJeder, der sich ein bisschen näher mit der RFID-Technologie (Radio Frequency Identification Device) auskennt weiss, dass sie nicht für sicherheitsrelevante Anwendungen taugt und wie anfällig sie für Sabotage, unerlaubten Datenzugriff und Manipulation/Fälschung ist. RFID-Chips wurden ursprünglich für die Effizienzsteigerung in der Logistik entwickelt, wo sie die technologisch in die Jahre gekommenen Strichcodes ablösen sollten. Das haben sie vielerorts auch erfolgreich getan. Sie sind viel einfacher und schneller auszulesen als Strichcodes, weil dies kontaktlos und gleichzeitig geschieht. Es gibt sie in den verschiedensten Ausführungen: in Plastikkarten oder andere Objekte eingeschweisst, als Minireiskorn zur Injektion unter die Haut oder als Aufkleber. Während am Anfang die blosse Identifikation von Objekten im Vordergrund stand, ist die Speicherung von allerlei zusätzlichen Daten in den Fokus gerückt, denn die RFID-Chips von heute können eine ganze Menge an Daten speichern. Dadurch eröffnen sich grundsätzlich viele ganz neue, zusätzliche Einsatzfelder.

RFID-Chips finden heute auch in Bereichen Anwendung, wo sie aufgrund ihrer technologiebedingten Sicherheitsmängel grundsätzlich nichts verloren haben: Kennzeichnung von Haustieren, Eintritts- und Saisonkarten für Hallenbäder und Skilifte, Bahnkarten und Flugtickets, elektronische Personenausweise (Reisepässe, Identitätskarten, Mitarbeiterausweise), Kreditkarten, Medikamentenverpackungen, Patientenkarten und elektronische Schlösser aller Art (Haus, Auto, Hotelzimmer). Ein RFID-Chip macht jedes Objekt jederzeit und mit der entsprechenden Ausrüstung auch aus einer Distanz von bis zu 500 Meter identifizierbar und damit überwachbar, was Datenschützer Sturm laufen lässt. Die kleinen Spione sind immer dabei und das freut nicht nur die Polizei sondern auch Marktdatensammler und Terroristen.

Continue reading

Vorratsdatenspeicherung verfassungswidrig

JustitiaDas Bundesverfassungsgericht in Karlsruhe hat entschieden und heute die Vorratsdatenspeicherung mit äusserst klaren Worten für verfassungswidrig und damit nichtig erklärt. Die Massenspeicherung von Telekommunikationsdaten ohne Grund, d.h. ohne einen dringenden Verdacht oder einen konkreten Hinweis auf eine Straftat, ist unverhältnismässig und unvereinbar mit dem Telekommunikationsgeheimnis. Zudem ist die Sicherheit der Daten nicht gewährleistet und deren Verwendung nicht klar definiert.

Damit haben die deutschen Verfassungsrichter den Rechtsstaat ein Stück weit wiederhergestellt. Das ist gut so und es war auch dringend nötig, der Datensammelwut überwachungswütiger „Staatsschützer“ Einhalt zu gebieten. Ein Staat der private Unternehmen dafür rügt, die Privatsphäre der Bürger zu verletzen, weil sie deren Gewohnheiten bespitzeln, von ihnen persönliche Profile für die Werbewirtschaft erstellen und sie mit Diensten wie Google Street-View in der Öffentlichkeit blossstellen, darf nicht selber zur Datenkrake werden. Das Urteil aus Karlsruhe entspricht vollumfänglich meinen Erwartungen und wurde in der Presse und in breiten Teilen der Bevölkerung mit Genugtuung und Erleichterung aufgenommen. Es wird (hoffentlich) auch für andere Staaten in Europa Signalwirkung haben.

Continue reading

Datenklau ist ein Unding

CD-ROM Bankdaten Schweiz 2010Im Zusammenhang mit der CD, die angeblich Finanzdaten von deutschen Steuersündern enthalten soll, ist immer wieder von einem „Datenklau“ die Rede. Wie schon bei der „Raubkopie“ ist der Begriff jedoch irreführend und gibt den Sachverhalt nicht korrekt wieder, da Daten aufgrund ihrer digitalen Natur und mangels Körperlichkeit niemals entwendet sondern lediglich kopiert werden. Weil die Daten dabei nicht abhanden kommen und verschwinden, sondern weiter unverändert an ihrem ursprünglichen Speicherort verbleiben, ist die unberechtigte Erstellung einer Kopie nur schwer nachvollziehbar und nachweisbar, wenn der illegale Kopiervorgang nicht einwandfrei und lückenlos durch die Systeme mitprotokolliert wird. Aber oft nicht einmal dann kann der Täter eindeutig identifiziert werden.

Continue reading

Kommt der Bundes-Trojaner als Bürger-Client getarnt?

Das deutsche Bundesinnenministerium arbeitet schon längere Zeit daran, alle Bürger des Landes überwachbar zu machen. Mit dem Vorwand der Terrorismus-Prävention und -Bekämpfung wurde zuerst versucht, die Einführung der Online-Überwachung salonfähig zu machen. Doch die technologischen Hindernisse sind zu gross, um einen Trojaner gezielt auf dem Rechner einer Zielperson installieren zu können. Mit dem elektronischen Personalausweis und E-Government-Diensten über das Internet ergeben sich nun jedoch viel einfachere Möglichkeiten, denen sich in Zukunft niemand verschliessen kann, will er nicht benachteiligt und ausgegrenzt werden.

Continue reading

Echtzeit-Überwachung und Vorratsdatenspeicherung auch in der Schweiz

Wie die WOZ (eigentlich nicht so meine Wellenlänge) hat heute im Beitrag „Mit dem Staat ins Internet“ aufgedeckt und öffentlich gemacht, wie der Bund den nächsten Schritt zum Überwachungsstaat wagt. Nun soll der gesamte Internetverkehr durch die Provider protokolliert und der Staatsgewalt zugänglich gemacht werden. Mit „Anpassung an die neuen Realitäten“ wird die Aktion begründet. Wie ist eine solche Schweinerei in einem Rechtsstaat möglich? Fredy Künzler zieht denn auch schon Parallelen zur Fichenaffäre.

Continue reading

Du bist Terrorist!

Nachdem 2005 mit der Kampagne „Du bist Deutschland“ das deutsche Volk im ganzen Land auf eine positive Stimmung getrimmt wurde, folgt dieses Jahr mit „Du bist Terrorist“ eine Wachrüttel-Kampagne, welche die globale Bedrohung der Weltordnung durch jeden einzelnen Bundesbürger veranschaulicht. Schliesslich beherbergt der grosse Kanton gut 82 Millionen potenzielle Terroristen, die es zu überwachen gilt.

Produziert hat das Video der Filmemacher und Design-Student Alexander Lehmann. Jetzt wissen wir endlich, wofür wir Überwachungskameras auf öffentlichem Raum und in Verkehrsmitteln, biometrische Pässe, zentrale Biometrie-Datenbanken, Vorratsdatenspeicherung, Online-Überwachung und Internet-Sperren brauchen. Sicherheit durch totale Kontrolle wurde schon in der Sowjetunion und im braunen Reich gross geschrieben. Nun wird endlich die ganze Welt sicher gemacht.

Wirbel um Aussagen von Doris Fiala zum biometrischen Reisepass

Doris FialaAm nächsten Wochenende stimmen wir über die Einführung des neuen biometrischen Reisepasses ab (und verwerfen dies hoffentlich mit einem klaren NEIN). FDP-Nationalrätin Doris Fiala sorgt nun im ohnehin schon heissen Abstimmungskampf für zusätzliche Aufregung mit ihrem Votum zugunsten einer Verwendung der biometrischen Daten für Fahndungszwecke.

Wie ich bereits vorhergesagt habe, wird der Abstimmungskampf emotional und unsachlich geführt. Als jüngstes Beispiel zeugt davon der Artikel „Passdaten für Fahndungen“ (PDF und Online-Ausgabe) von Christoph Moser beim „Sonntag“ über die jüngsten Äusserungen der FDP-Nationalrätin Doris Fiala: „Ich bin der Meinung, die biometrischen Passdaten sollten auch für Fahndungen benutzt werden können … nur im Fall von Schwerverbrechen“. Sie begründet ihre Meinung mit: „Wir leben in Zeiten, in denen wir uns in der Abwägung zwischen Sicherheit und Freiheit für die Sicherheit entscheiden müssen. Diese Entwicklung macht auch vor Freisinnigen nicht Halt.“. Dies war sogar heise online einen Beitrag wert.

Frau Fiala erklärt sich

Noch am Sonntag habe ich Frau Fiala über ihre Website kontaktiert und von ihr folgende unpersönliche Antwort ohne Anrede erhalten:

Besten Dank für Ihre Zeilen. Ich bitte Sie, untenstehende Aussagen zur Kenntnis zu nehmen. Leider schreiben Medien nicht immer, was man effektiv gesagt hat.

Mit besten Grüssen: Doris Fiala

Continue reading

Sicherheitsmängel bei Lesegeräten für biometrischen Pass

NEIN zum biometrischen ReisepassErst kürzlich musste ich mir über die Manipulation der Abstimmung zum biometrischen Pass durch Medien und Politiker (allen voran durch Bundesrätin Eveline Widmer-Schlumpf) Luft verschaffen. Jetzt wurde bekannt, dass das Bundesamt für Kommunikation (Bakom) in einem offiziellen, aber bisher unveröffentlichten Bericht vom 28. November 2008 grobe Sicherheitsmängel bei den Lesegeräten festgestellt hat. Aufgedeckt hat dies der Tages-Anzeiger und wahrscheinlich hat sich der Autor Patrick Kühnis mit seinem Artikel einen Haufen Ärger aufgehalst. Ihn nehme ich von meiner Medienschelte aus und danke ihm für seinen Mut, den Artikel zu schreiben. Pikant an der Sache ist vor allem, dass das Bakom vom Bundesamt für Polizei (Fedpol) beauftragt wurde, die „Datenauslesung auf Distanz beim biometrischen Pass“ zu untersuchen.

Fazit der Tester: „Unter idealen Bedingungen ist das drahtlose Mithören bis zu einer Distanz von etwa 25 Metern möglich.“ Aus noch weit grösserer Distanz lassen sich die Lesegeräte über das Stromnetz anzapfen. Denn die Spezialisten des Bakom fanden heraus, dass die Apparate (mit angeschlossenem Notebook) die gelesenen Daten «ungewollt über das 230-Volt-Netz weiterleiten». Messungen und Berechnungen hätten gezeigt, dass «ein Mitlesen auf der Hausinstallation bis zu einer Distanz von über 500 Metern möglich ist».

Das Bakom warnt zudem davor, den biometrischen Pass ohne Schutzhülle aufzubewahren. Mit Netzfiltern glaubt man beim EJPD naiv, dem Mangel Abhilfe zu schaffen, und schlägt alle Warnungen des Bakom in den Wind. Aber auch wenn die Lesegeräte in der Schweiz sicher wären, ist damit das Problem im Ausland noch lang nicht behoben. Schliesslich wird der Pass vor allem für Reisen im Ausland gebraucht.

Noch in der Arena-Sendung vom 1. Mai hatten Bundesrätin Eveline Widmer-Schlumpf und Roman Vanek, Chef der Sektion Ausweisschriften beim Fedpol wiederholt die Sicherheit des neuen Passes betont und damit die Zuschauer wohlwissend angelogen, ohne dabei rot zu werden. Ebenso lügt die Frau Bundesrätin, wenn sie behauptet, dass wir bei Ablehnung des biometrischen Passes für Reisen im EU-Raum künftig ein Visum bräuchten. Solche Lügen sind eines Bundesrates unwürdig und eine Schande für die Schweiz. Frau Bundesrätin, ich fordere Sie zum Rücktritt auf!

Wer sich sachlich über das Thema informieren möchte, liest …